我认为淘汰赛可以处理这种情况,但想确认一下。如果使用带有输入/文本区域之类的表单控件的值绑定,是否没有脚本注入攻击的危险?
或者您是否需要做一些事情来确保在将值设置到视图模型之前对其进行编码?
问问题
1404 次
1 回答
2
该值将按原样保存到视图模型中。这仅取决于您如何使用它。绑定将text基于使用innerText/textContent设置值对内容进行编码。所以,你在那里是安全的。如果要将html绑定与通过绑定设置的内容一起使用value,则可以注入脚本。
有关更多信息,请参阅关于 HTML 编码的 Knockout doco 。
于 2012-04-22T17:52:47.997 回答