私はNerdDinnerを使用していますが、次のセクションについて少し混乱しています...
まず、彼らは新しいディナーを作成するためのフォームを追加しました。
<%= Html.TextArea("Description") %>
次に、フォーム入力をモデルにバインドする 2 つの方法を示します。
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create() {
Dinner dinner = new Dinner();
UpdateModel(dinner);
...
}
また:
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create(Dinner dinner) { ... }
わかりました。これまでのところ、すべてが本当に簡単に見えます。
それから少し後に彼らは言います:
ユーザー入力を受け入れるときは、常にセキュリティについて偏執的であることが重要です。これは、オブジェクトをフォーム入力にバインドする場合にも当てはまります。HTML および JavaScript インジェクション攻撃を回避するために、ユーザーが入力した値を常に HTML エンコードするように注意する必要があります。
は?MVC がデータ バインディングを管理しています。HTMLエンコーディングはどこで/どのように行うべきですか?