个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我有一个用于创建备忘录的表单,为此我使用富文本编辑器来提供一些样式,这会创建 html 标签以应用样式。当我发布该文本时,mvc 会抛出错误以防止潜在危险的脚本,因此我必须明确允许它。
我发现有两种方法可以做到这一点,一种是用 [ValidateInput(false)] 装饰 Controller 方法,另一种是用 ViewModel 属性装饰[AllowHtml]。对我来说,[AllowHtml] 看起来更好,但我只发现该方法使用了 1 次,并且 [ValidateInput(false)] 似乎是首选方式。
我应该使用哪种方法?两者有何区别?
最佳答案
ValidateInput 和AllowHTML 直接与XSS 连接安全问题。
所以让我们首先尝试了解 XSS。
XSS(跨站点脚本)是一种安全攻击,攻击者在输入数据时注入(inject)恶意代码。现在好消息是,MVC 中默认情况下会阻止 XSS。因此,如果任何人尝试发布 JavaScript 或 HTML 代码,他都会遇到以下错误。
但在实时情况下,有些场景必须允许使用 HTML,例如 HTML 编辑器。因此,对于这些类型的场景,您可以使用以下属性来装饰您的操作。
[ValidateInput(false)]
public ActionResult PostProduct(Product obj)
{
return View(obj);
}
但是等等,这里有一个问题。问题是我们允许 HTML 执行完整的操作,这可能很危险。因此,如果我们能够对现场或属性(property)级别进行更精细的控制,这将真正创建一个简洁、整洁和专业的解决方案。
这就是AllowHTML 有用的地方。您可以在下面的代码中看到我在产品类属性级别上装饰了“AllowHTML”。
public class Product
{
public string ProductName { get; set; }
[AllowHtml]
public string ProductDescription { get; set; }
}
因此总结一下“ValidateInput”允许在操作级别上发布脚本和 HTML,而“AllowHTML”则处于更细粒度的级别。
我建议多使用“AllowHTML”,直到您非常确定整个操作需要赤裸裸。
我建议您阅读博客文章 Preventing XSS Attacks in ASP.NET MVC using ValidateInput and AllowHTML 通过示例逐步演示了这两个属性的重要性。
关于asp.net-mvc-4 - ValidateInput(false) 与AllowHtml,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25630141/
25
4
0
class test { public static void main(String[] args){ Object o1 = new Object(); O
我以为我理解了 Python 中的这两个单例值,直到我看到有人在代码中使用 return l1 or l2,其中 l1 和 l2 都是链表对象,并且(s)他想如果不为 None 则返回 l1,否则返回
这个问题在这里已经有了答案: Why does the expression 0 >> (True == False) is False True >>> True == (False is Fals
为什么在 Python 中它是这样评估的: >>> False is False is False True 但是当用括号尝试时表现如预期: >>> (False is False) is False
我有一个名为“apple”的表,我编写了以下查询: select name, count(name), case when istasty is null then fal
python boolean 逻辑中的运算符优先级 print(False==True or False) #answer is True print(False==(False or True))#
请不要看条件,因为它们在这里是为了便于理解行为 为什么 result 等于 true ? boolean result = false && (false)?false:true; 我知道我们可以通过
乍一看,这篇文章可能看起来像是重复的,但事实并非如此。相信我,我已经查看了所有 Stack Overflow,但都无济于事。 无论如何,我从 Html.CheckBoxFor 得到了一些奇怪的行为。
这个问题在这里已经有了答案: python operator precedence of in and comparison (4 个答案) 关闭 6 年前。 我的一位前辈演示了它,我想知道这是否是
我最近参加了 Java 的入门测试,这个问题让我很困惑。完整的问题是: boolean b1 = true; boolean b2 = false; if (b2 != b1 != b2) S
为什么 {} == false 评估为 false 而 [] == false 评估为 true在 javascript 中? 最佳答案 这是根据 Abstract Equality Comparis
这个问题在这里已经有了答案: Why does (1 in [1,0] == True) evaluate to False? (1 个回答) 关闭7年前。 为什么使用括号时这些语句按预期工作: >>
我试过搜索这个,但我真的不知道如何表达它以查看是否有其他人发布了答案。 但是,我正在制作一个国际象棋游戏和一个人工智能来配合它,这是非常困难的,我的问题是当我检查两个棋子是否在同一个团队时我必须做 (
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
为什么 为 false || null 返回与 null || 不同的结果错误? 我可以安全地依赖 return myVar || false 如果 myVar 为 null 或 false,则返回
我正在尝试遵循 NHibernate 教程,“你的第一个基于 NHibernate 的应用程序:修订 #4”在 NHibernate Forge。 但线路:new SchemaExport(cfg).
这个问题在这里已经有了答案: Empty list boolean value (3 个答案) 关闭 4 年前。 我是 Python 的新手,不理解以下行为: 为什么要声明 [] == False
以下函数循环访问对象的值。如果值为空this.hasInvalidValue设置为true ,如果不为空 this.hasInvalidValue设置为false : user: { email:
所以我正在玩 java.lang.reflect 东西并尝试制作类似 this 的东西。这是我的问题(可能是一个错误): 将字段设置为 true 的方法的代码: private static void
当我在编程时,我的 if 语句出现了意想不到的结果。 这个代码警报怎么会是真的?我在 W3S 没有找到任何可以帮助我的东西,我真的很想知道为什么这些警报是“正确的” window.alert(fals
我是一名优秀的程序员,十分优秀!