我已经找了一段时间,但是找不到任何东西,如果有什么东西而道歉,我已经错过了。
Web-API 2框架中是否有任何内容会自动拒绝字符串模型属性上的HTML标记(少数几个除外)?
我知道我可以创建一个自定义验证属性,并在每个属性上进行重击,但是要维护并记住要对所有新模型进行操作,这需要很多。
LIKE '%[^0-9]1-%CASEID%'
我可以使用类似于以下内容的JSON向我的1端点发送帖子请求:
public class Person {
public string Name{ get; set; }
// ... snipped
}
在操作中,POST将等于{
"name": "<h1>This is my name</h1>"
}
,未提出任何验证错误
答案 0 :(得分:1)
我一直在寻找和你一样的东西。来自MVC的观点,我们有参数来禁止表单中输入字段中的html,这似乎是合理的。
我发现这个库,在某种程度上可能有所帮助......它没有以你想要的方式完全回答你的问题,但它有助于你必须生成的自定义属性你自己,如果你决定去寻找属性路径......
Nuget包: https://www.nuget.org/packages/ASPNetWebAPIAntiXss/
示例和产品页面: https://bitbucket.org/embarr-development/asp.net-web-api-antixss-attribute