我正在使用ASP.NET Core和ReactJS开发SPA。
在某些应用程序位置,用户有机会创建注释,该注释将显示给所有人。因此,我在控制器中有字符串输入,并将数据“按原样”保存在数据库中。
我为每个控制器添加了属性[Produces(“ application / json”)]-返回json作为结果(我不使用服务器端渲染)。
我的问题:我应该另外对输入数据进行编码(在保存到数据库中之前还是在发送给用户之前)-否则此属性会自动对所有字符串进行编码(在发送给用户之前),并且我没有机会受到XSS攻击申请吗?
谢谢。
答案 0 :(得分:1)
根据docs指定
一个过滤器,用于指定操作将返回的预期Type和 支持的响应内容类型。使用ContentTypes值 设置ContentTypes
Produces属性将仅定义操作/方法将产生的内容,它将不对任何输入字符串进行编码