我在 asp.net 中使用 ValidationRequest="True" 并且它不允许用户输入 html 标记和脚本,但是我被告知在浏览器中显示用户数据时进行 html 编码,说明使用了单反逗号(')和双引号 (") 可能会导致 XSS 脚本。
当我浏览各种来源时,如果我不允许页面中的 html 和脚本,我认为不需要编码。当我们在 asp.net 页面中使用 validationRequest=true 时,我无法创建我们需要在后端进行编码的情况。如果没有必要,我真的不想使用 html 编码。
有没有使用 ValidationRequest=true 之后仍然需要进行 html 编码的示例?
谢谢你。