asp.net mvc2是ValidateInput属性是安全的吗?

时间:2013-05-27 13:24:44

标签: asp.net-mvc-2

因为我在我的asp.net mvc2项目上安装了TinyMCE,

我收到了这个错误

  

从中检测到一个潜在危险的Request.Form值   客户端

要摆脱它,我需要将此属性放在每个控制器上

    [ValidateInput(false)]
    [AllLocationAuthorizeAttribute]
    public class LocationController : Controller
    {

第一个问题。这样做是否安全?

1 个答案:

答案 0 :(得分:0)

AllowHtml属性最适合。

ASP MVC自动保护可能的脚本输入并抛出异常。您可以使用AllowHtmlAttribute或ValidateInputAttribute(false)关闭它。

Razor引擎将自动编码像@ model.SomeProperty这样的字符串,就像HtmlHelper.Methods()一样。

编码后<script>将为&lt;script&gt;因此,在大多数情况下,无法恐慌。

有用的链接:ValidateInput and AllowHtmlPrevent XSS attacks