我在视图中有一个模型和一个表单。我有一个简单的字符串字段,称为描述。我可以在<script>alert('xss')</script>
该字段中插入如下脚本:我可以看到,在我的网站上使用其他模型的其他操作中,我看不到我没有AllowHtml
类似的东西。
唯一的区别是,对于这个模型,我使用带有 json 对象和内容类型的应用程序/json 的帖子ModelState.IsValid
返回 true。即使有一个带有 xss 脚本的描述属性...
对于其他操作,我做了一个简单的 ajax 帖子。
为什么验证输入不适用于这种 JSON ajax 帖子?对于这种 ajax 请求,如何防止整个站点的 xss?
谢谢