我正在阅读有关ASP.NET脚本漏洞的内容,其中一条建议是:(
重点是我的;建议是网页中的"防止脚本漏洞利用"部分中的#3)
如果您希望应用程序接受某些HTML(例如,来自用户的某些格式化说明),则应在将HTML提交到服务器之前在客户端对其进行编码.有关更多信息,请参阅如何:通过将HTML编码应用于字符串来防止Web应用程序中的脚本漏洞.
这不是很糟糕的建议吗?我的意思是,一个开发者可以通过curl或类似的东西发送HTML,然后HTML将被编码发送到服务器,这可能不是很好(?)
我在这里遗漏了什么或者错误地解释了这个陈述吗?