我有一个MVC模型字段,用户输入一些html源代码。目前,我收到以下错误:
从中检测到一个潜在危险的Request.Form值 客户端
我查看了以下资源:http://blogs.msdn.com/b/marcinon/archive/2010/11/09/mvc3-granular-request-validation-update.aspx
资源说要添加AllowHtml属性。我添加了这个属性,现在没有出现错误。
我的问题是:我是否应该在应用程序中添加任何其他安全功能,或者AllowHtml属性是否都需要?我是否还应使用以下保护库:http://wpl.codeplex.com/
提前致谢
答案 0 :(得分:0)
AllowHtml不包含任何防止恶意脚本编写的安全措施。它只是允许属性在验证过程中跳过此步骤。您仍应检查该属性以确保它不包含脚本并清理或拒绝它(如果有)。