我在razor(mvc 3)中有一个ajax表单,这个表单在一个html输入中包含一个变量。
如果我输入一些像“<”这样的字符或“>”,然后POST抛出一个潜在危险的request.form异常,因为客户端放在那个输入上的字符就可以了。
我读到了这一点,并且每个人都说你必须在控制器操作上使用[ValidateInput(false)]或在模型属性上使用[AllowHtml]关闭验证,甚至在web.config中关闭。
所以..也许我错了,但我不太喜欢“关闭验证”的事情。有没有办法在不关闭验证的情况下执行此操作?我的意思是,控制用户输入可能会消毒输入吗?