2

私はMVCにWebアプリケーションを持っており、共有ポイントの場所に保存されているファイルを共有できます。リンクはアプリケーションに表示されます。これは次のように実装されます。

同じためにフォームタグを使用しています。

 <form id ="addformupload" method="post" enctype="multipart/form-data"> some html tags     here for implementing the form here </form> as below.

ここに画像の説明を入力してください

同じようにJQueryを使用POSTしています。

    var options = {
        url: "../../DataService/SaveResources",
        success: layoutService.SPfileUploadResponse
    };

つまり、ユーザーは「File Description」を指定でき、アップロードするファイルを参照する必要があります。それは絶対にうまく機能しますが、彼がファイル名をとして与えると、<test>失敗します。解決策(ある場合)を教えてください。

4

2 に答える 2

2

.Netパイプライン(MVCとSharepointについて言及しているので、ここで使用されているものだと思います)は、危険な可能性のある一部の文字(XSSで使用される可能性がある<や>文字など)を許可しません。

通常、これはそのままにしておくとよいでしょう。ただし、文字のエスケープを正しく処理していることが確実な場合(Razorで@ Model.Value構文を使用する場合、または<%:構文pre-razorを使用する場合、これは自動的に行われます)、[ValidateInput(false)]属性をアクションメソッド、そしてそれはこれらの危険な文字を許可します。

于 2013-03-25T04:02:48.690 に答える
0

基本的に、「<」と「>」を付けて投稿することは潜在的に危険です。それを避ける方が良いです。

于 2013-03-25T04:10:35.787 に答える