0

これに密接に関連する質問をすでに投稿しました。P. Haacked と S. Hanselman と一緒に Mix10 のビデオを見ました。

入力フォームがオンザフライで作成される AJAX を利用したサイトを構築しています。

これを実現するすべてのコードは、スクリプト タグまたは JavaScript ファイル内で実行されます。たとえば、ページが読み込まれると次の DOM 要素が作成され、ビューで定義された既存の div にラップされます。

$('#myform').append('); $('#myform').append('');

送信ボタンをクリックすると、id が 'Name' である入力フォームの値を取得する必要があります: $("#Name").val() そして、Json オブジェクトを返します: { Name: name };

この種のシナリオでは、クライアント側で Html.Encode() または AntiXss.HtmlEncode() を使用する方法はありません。入力が有害でないかどうかを確認する唯一の方法は、サーバー側で (サービス層を介して) 行われます。

これは制限のようです。ビューに一連の事前定義された入力がある場合にのみ、すべて問題ありません。その場でそれらを作成するときは、状況が異なります。

皆さんはその状況について考えたことがありますか?

これに注意を払っていただきありがとうございます。

ローランド ブリュッセル、ベルギー

4

1 に答える 1

0

あなたの質問を完全に理解しているかどうかはわかりませんが、入力の有害性に関するクライアント側のチェックはとにかく無価値であることを指摘しなければなりません.有害な入力を送信したい人は誰でも安全チェックを削除するだけです. これがおそらく、それらをチェックするためのクライアント側 API がない理由です。

そのため、サーバー側でそれらを再実行する必要があるため、クライアント側でそれらを気にする必要はありません。クライアント側のチェックの唯一の有用な性質は、送信前に、誤って有害なコードが含まれていることをユーザーに警告することです。これは本当にユーザーに定期的に起こることですか?

于 2010-04-27T17:33:05.013 に答える