现在MVC已经引入了HTML Encoding via
<%: blah %>
使用还有价值吗?
<%= AntiXSS.HTMLEncode(blah) %>
代替?
例如:我的应用程序将获取所有内容(包括JavaScript)并将其存储在数据库中的原始状态.我打算简单地使用类似的东西输出所有东西,<%: model.Name %>并依靠MVC"东西"为我做编码.
该方法是否足够安全,可以依赖AntiXSS,还是需要明确使用AntiXSS库?如果我需要使用AntiXSS库,我可以问为什么不会将这种东西内置到MVC中?
我认为没有任何真正的区别,但如果你真的那么担心,你可以使用AntiXss库作为asp.net的默认编码器,如本文所述.
京公网安备 11010802040832号 | 京ICP备19059560号-6 