gpt4 book ai didi

asp.net-mvc - MVC 输入中的 Html 编码

转载 作者:行者123 更新时间:2023-12-04 12:43:54 24 4
gpt4 key购买 nike

我正在处理 NerdDinner我对以下部分有点困惑......

首先,他们添加了一个用于创建新晚餐的表单,其中包含一堆文本框,如下所示:
<%= Html.TextArea("Description") %>
然后他们展示了两种将表单输入绑定(bind)到模型的方法:

[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create() {
Dinner dinner = new Dinner();
UpdateModel(dinner);
...
}

或者:
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create(Dinner dinner) { ... }

好的,太好了,到目前为止,这一切看起来都很容易。

过了一会儿,他们说:

It is important to always be paranoid about security when accepting any user input, and this is also true when binding objects to form input. You should be careful to always HTML encode any user-entered values to avoid HTML and JavaScript injection attacks



嗯? MVC 正在为我们管理数据绑定(bind)。您应该在哪里/如何进行 HTML 编码?

最佳答案

您通常(但不总是)希望在写出值之前对值进行 HTML 编码,通常在您的 View 中,但也可能来自 Controller 。

这里有一些信息:http://weblogs.asp.net/scottgu/archive/2010/04/06/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and-asp-net-mvc-2.aspx

关于asp.net-mvc - MVC 输入中的 Html 编码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2906739/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com