1
爲了避免通過輸入字段進行腳本注入,我在我的控制器操作中將ValidateInputAttribute設置爲false。在我看來,我使用<%:而不是<%=。避免在輸入字段中注入腳本
我想知道的是,除了上面還有更通用的方法嗎?
A
回答
2
要通過輸入字段避免腳本注入,我設置 ValidateInputAttribute假
這恰好有你正在試圖達到什麼樣的效果相反。它允許腳本注入。當您將其設置爲false時,基本上會禁用請求值的驗證。
而在我的意見,我使用的<%:而不是<%=
這在視圖中顯示時是正確的方式HTML編碼的所有數據。當然,如果您使用HTML助手(如Html.DisplayFor或Html.EditorFor,您不需要使用<%:,因爲這些助手已經負責正確編碼輸出)。
相關問題
- 1. 如何避免JavaScript文本字段中的SQL注入?
- 2. 避免SQL注入
- 3. 避免在終端中輸入「python」以打開.py腳本?
- 4. 避免在Microsoft Access中重複輸入3個字段
- 5. 在PHP中避免SQL注入
- 6. 避免MySQL注入Zend_Db類
- 7. Spring(MVC)SQL注入避免?
- 8. Guice:避免懶惰注入
- 9. 避免MySQL注入和XSS
- 10. 如何避免javascript事件在文本字段中的無效輸入?
- 11. PHP和PostgreSQL:避免跨站腳本和SQL注入攻擊
- 12. 如何使用python漂白庫來避免腳本注入?
- 13. 在AS3中輸入文本字段中輸入按鍵輸入
- 14. YII一堆插入 - 避免SQL注入
- 15. 避免在mysql中重複輸入
- 16. 避免在python中輸入類名稱
- 17. 輸入大數字以避免NumberFormatException
- 18. PHP在文本字段中修剪用戶輸入以避免用戶輸入空格
- 19. 專注於輸入字段
- 20. 關注輸入字段值
- 21. java腳本輸入字段驗證
- 22. jQuery的 - 避免空輸入
- 23. 避免bash腳本等待用戶輸入回車鍵
- 24. 如何避免codeigniter中的sql注入
- 25. 在文本輸入字段
- 26. 在注入腳本
- 27. 如何在彈性搜索的搜索查詢中避免腳本注入?
- 28. 如何避免插入輸入值時HTML文本中斷?
- 29. 在一行中避免空格的數組輸入輸入
- 30. 如何避免特定輸入字段的鍵盤?
但是,如果您將ValidateInputAttribute設置爲true,那麼您將得到異常:從客戶端檢測到潛在危險的Request.Form值。那就是,我不想要的。我只是想阻止執行潛在的腳本 – Djave 2013-04-05 13:51:07
是的,這很正常。 ASP.NET顯式不允許發佈這些字符,因爲它們可用於XSS注入。當然,如果你正確地對輸出進行HTML編碼,你可以安全地禁用這個驗證。 – 2013-04-05 13:54:02
謝謝,但這是正確的方式,我在做什麼?現在我有數百個視圖,我必須用<%:替換<%=。有沒有另一種方式來做到這一點更通用? – Djave 2013-04-05 14:06:28