我很好奇是否有人使用在绑定时清理输入的ModelBinder。这似乎是一个有用的功能,但我没有看到很多关于这个主题的讨论。有人有任何意见吗?
答案 0 :(得分:0)
就个人而言,我不会在输入类型上进行清理(当然除了验证)。我在输出时消毒。例如,当您需要在从不受信任的来源(例如您的站点的用户)获得的视图上输出某些HTML时,可以使用AntiXss库。但是,如果应用程序不需要接受来自用户的HTML并在没有编码的情况下显示此HTML,则标准Html.DisplayFor帮助程序(或WebForms的相应标记<%:或Razor的@)大多数情况下的工作。