1

为了避免通过输入字段注入脚本,我ValidateInputAttribute在控制器操作中将 设置为 false。在我看来,我使用的<%:<%=.

我想知道的是,除了上面还有更通用的方法吗?

4

1 回答 1

2

为了避免通过输入字段注入脚本,我将 ValidateInputAttribute 设置为 false

这与您想要达到的效果完全相反。它允许脚本注入。当您将其设置为 false 时,基本上您将禁用请求值的验证。

在我看来,我使用的是 <%: 而不是 <%=

这是在视图上显示时对所有数据进行 HTML 编码的正确方法。当然,如果您正在使用 HTML 帮助程序(例如 Html.DisplayFor 或 Html.EditorFor 您不需要使用<%:,因为这些帮助程序已经负责正确编码输出)。

于 2013-04-05T13:38:42.063 回答