这是我第一次在 ASP 中做一个项目,所以这是我第一次遇到可怕的从客户端检测到潜在危险的 Request.Form 值...错误。
我环顾了网络和stackoverflow,似乎找不到处理这个问题的“最佳实践”方法。我并不完全想关闭所有验证,因为这意味着在用户可以输入数据的每个文本框中,我需要自己对文本进行编码/解码,对吗?这使我认为这是在您的站点中留下安全漏洞的一种非常简单的方法。
另一个看似常见的修复方法是优雅地中断验证并为用户带来一个看起来更好看的错误页面,这不是一个坏修复,但它不可能是最好的,对吧?
我在大多数网站上都注意到,例如,如果您为撇号输入 HTML 编码,它会自动变成撇号字符。当我现在输入这个时,如果我尝试输入 ' ; (去掉 9 和 ; 之间的空格,这是撇号的 HTML 编码),它会自动转换为 '. ASP.net 4.0 中必须有一种方法来做同样的事情吗?
顺便说一句,我使用 c# 作为我的后端服务器端代码。