0

我有一个 MVC 模型字段,用户可以在其中输入一些 html 源代码。目前,我收到以下错误:

从客户端检测到潜在危险的 Request.Form 值

我查看了以下资源:http: //blogs.msdn.com/b/marcinon/archive/2010/11/09/mvc3-granular-request-validation-update.aspx

资源说要添加AllowHtml属性。我已经添加了这个属性,现在没有发生错误。

我的问题是:我应该向我的应用程序添加任何其他安全功能,还是只AllowHtml需要该属性?我是否还应该使用以下保护库:http ://wpl.codeplex.com/

提前致谢

4

1 回答 1

0

AllowHtml不包括任何安全措施来防止恶意脚本。它只是允许属性在验证过程中跳过这一步。您仍应检查该属性以确保它不包含脚本,如果包含,则对其进行清理或拒绝。

于 2014-10-25T05:41:01.620 回答