我有一个ASP.NET MVC 3应用程序,我想在其中设置
requestValidationMode="4.0"
网站的所有区域都是普通用户有访问权限
ValidateInput(true)
SoI基本上html编码所有用户输入并将其保存在数据库中。 (该网站不打算在没有javascript的情况下工作)
我的问题是
我应该如何处理 注册 , 登录 和 更改密码< / em> 功能?
显然我想让用户插入他/她想要的密码,
如果对于 密码 字段,我在客户端上执行 html encode ,然后
谢谢
答案 0 :(得分:1)
鉴于密码不可能以明文形式显示(甚至存储),因此XSS不应该是密码的关注点。
您可以使用[AllowHtml]装饰(查看)模型的密码属性
我想不出密码需要从服务器回送给客户端的原因,所以不需要Html清理步骤吗? (在客户端上进行密码规则验证)
Troy Hunt讨论了这个here。