我整天都在搜索,我对阻止脚本在我的 MVC 应用程序中提交感到非常困惑。我发现的大部分内容都是告诉我如何禁用请求验证,这不是我想要的。
在 Views 文件夹的 web.config 中,它声明
在视图页面中启用请求验证将导致在控制器已处理输入之后进行验证。默认情况下,MVC 在控制器处理输入之前执行请求验证。要更改此行为,请将 ValidateInputAttribute 应用于控制器或操作。
这听起来像是我的 MVC 应用程序在我尝试提交脚本标签时应该抛出“检测到潜在危险的 Request.Form 值”错误,但我仍然能够提交如下内容:
</input><script>alert("hello world");</script>
当我加载页面时,脚本已添加到我得到一个 JS 警报框。
为什么我可以提交有潜在危险的脚本?我错过了什么?