asp.net-mvc-4 – ValidateInput(false)vs AllowHtml

前端之家收集整理的这篇文章主要介绍了asp.net-mvc-4 – ValidateInput(false)vs AllowHtml前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个用于创建备忘录的表单,为了提供一些样式,我有一个丰富的文本编辑器,这样创建html标签以应用样式。当我发布该文本mvc抛出一个错误,以防止潜在的危险脚本,所以我必须具体允许它。

我已经找到了2种方法,装饰控制器方法whit [ValidateInput(false)]或装饰viewmodel属性whit [AllowHtml]

对我来说,[AllowHtml]看起来更好,但我只发现这种方法使用了1次,而[ValidateInput(false)]接缝是首选方式。

所以我想知道你的想法,我应该使用哪一个? 2之间有什么区别?

TKS

解决方法

ValidateInput和AllowHTML与 XSS安全问题直接相关。

所以让我们先来试一试了解XSS。

XSS(跨站点脚本)是攻击者在进行数据输入时注入恶意代码的安全攻击。现在的好消息是,默认情况下,XSS是在MVC中禁止的。因此,如果有人尝试发布JavaScript或HTML代码,他将使用以下错误

但是,实际上还有一些需要允许HTML的情况,比如HTML编辑器。因此,对于这些场景,您可以使用以下属性来装饰您的动作。

[ValidateInput(false)]
public ActionResult PostProduct(Product obj)
{
    return View(obj);
}

但等等,这里有一个问题。问题是我们允许HTML完整的操作可能是危险的。所以,如果我们可以对现场或财产水平进行更精细的控制,真正创造一个整洁,专业的解决方案。

那就是AllowHTML是有用的。您可以在下面的代码中看到,我已经在产品类属性级别上装饰了“AllowHTML”。

public class Product
{
    public string ProductName { get; set; }
    [AllowHtml]
    public string ProductDescription { get; set; }
}

因此,总结“ValidateInput”允许脚本和HTML在“AllowHTML”处于更细粒度的级别上发布在操作级别上。

我建议您更多地使用“AllowHTML”,直到您确定整个操作需要裸体。

我会建议您阅读博客文章Preventing XSS Attacks in ASP.NET MVC using ValidateInput and AllowHTML,其中展示了一个关于这两个属性的重要性的一个例子。

猜你在找的asp.Net相关文章