asp.net-mvc-4 – ValidateInput(false)vs AllowHtml

我有一个用于创建备忘录的表单，为了提供一些样式，我有一个丰富的文本编辑器，这样创建html标签以应用样式。当我发布该文本mvc抛出一个错误，以防止潜在的危险脚本，所以我必须具体允许它。

我已经找到了2种方法，装饰控制器方法whit [ValidateInput(false)]或装饰ViewModel属性whit [AllowHtml]

对我来说，[AllowHtml]看起来更好，但我只发现这种方法使用了1次，而[ValidateInput(false)]接缝是首选方式。

所以我想知道你的想法，我应该使用哪一个？ 2之间有什么区别？

TKS

解决方法

所以让我们先来试一试了解XSS。

XSS(跨站点脚本)是攻击者在进行数据输入时注入恶意代码的安全攻击。现在的好消息是，默认情况下，XSS是在MVC中禁止的。因此，如果有人尝试发布JavaScript或HTML代码，他将使用以下错误。

但是，实际上还有一些需要允许HTML的情况，比如HTML编辑器。因此，对于这些场景，您可以使用以下属性来装饰您的动作。

[ValidateInput(false)]
public ActionResult PostProduct(Product obj)
{
    return View(obj);
}

但等等，这里有一个问题。问题是我们允许HTML完整的操作可能是危险的。所以，如果我们可以对现场或财产水平进行更精细的控制，真正创造一个整洁，专业的解决方案。

那就是AllowHTML是有用的。您可以在下面的代码中看到，我已经在产品类属性级别上装饰了“AllowHTML”。

public class Product
{
    public string ProductName { get; set; }
    [AllowHtml]
    public string ProductDescription { get; set; }
}

因此，总结“ValidateInput”允许脚本和HTML在“AllowHTML”处于更细粒度的级别上发布在操作级别上。

我建议您更多地使用“AllowHTML”，直到您确定整个操作需要裸体。

我会建议您阅读博客文章Preventing XSS Attacks in ASP.NET MVC using ValidateInput and AllowHTML，其中展示了一个关于这两个属性的重要性的一个例子。

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!