关于XSS预防的建议this blog post(在文本中搜索“防止跨网站脚本”)我可以阅读
通过使用禁用请求验证 ValidateInput属性的。这个 属性将错误地拒绝有效 HTML输入。
也许是因为我的英语知识远非完美,但我看到了一些矛盾。事实上,在开始时我了解我应该使用ValidateInput属性但是它会说此属性错误地拒绝有效的HTML输入,因此不建议使用它。< / p>
顺便说一句,这句话的正确意义是什么?看起来像选举后的第二天 在意大利:有人赢了,有人做了 没有丢失,别人有一个好 表现:D
答案 0 :(得分:2)
这句话对我来说也是矛盾和不清楚的。也许作者意味着您不需要使用此属性,因为默认情况下会拒绝危险请求。
就个人而言,我在本声明中停止阅读文章:DO access data in views using ViewData。甚至举例说明了如何做到这一点。
答案 1 :(得分:0)
我同意,这很令人困惑 - 但他似乎建议禁用此属性。当与他的下一个提示结合使用时,这是安全的,对要显示的所有用户数据进行编码(因此<变为<等等。)
我认为“禁用请求验证”是作为“防止跨站点脚本攻击”的三个提示中的第一个提供的不好建议。