2

在将查询字符串参数传递给业务层之前使用 html.encode 是一种好习惯吗?该场景与 asp.net 框架有关,我想知道在从键中读取值之前是否必须对查询字符串的内容进行编码?

我知道我们总是可以将内容转换为预期的数据类型,但我的问题是从设计的角度来看。

谢谢!

4

1 回答 1

2

我会说是的。至少想要,因为浏览器可能会得到错误的编码。一个符号可能显示为另一个符号,或者显示为未知字符。如果浏览器出错,它甚至可能与前面的字符混淆。

更复杂的原因包括它有助于防止 HTML 注入。

为什么需要使用 HTML 编码的简短解释很简单,一组字符在 HTML 中意味着特殊的东西,编码将有助于在所有浏览器中优雅地处理脱字符号和 & 号等符号。

于 2013-04-18T01:16:59.960 回答