0

コントローラーに渡されたすべての文字列値をサニタイズする必要がありますか、それともエディターのようなリッチ html だけですか?

input 、 type テキストフィールドはどうですか?

<input type="text" name"test1" value="<script></script>" />


public ActionResult TestAction(string test1){ //save in db }
4

1 に答える 1

1

サーバーに送信されるデータは常にサニタイズしてください。誰かが任意のタイプのサーバーにデータを任意に送信することを望まないでしょう。要素などの一部のHTMLタグは、<script>有害な場合があります。他のユーザーにとって悪意のある可能性があるため、ユーザーがコンテンツページにJavaScriptコードを保存することは望ましくありません。

于 2013-03-19T20:44:21.593 に答える