5
使用@Html.Raw有風險嗎?在我看來,不應該有。如果存在風險,那麼無論如何使用@Html.Raw都不存在這種風險,因爲現代瀏覽器(例如Chrome)會允許編輯注入<script>malicious()</script>,甚至可以將表單的發佈後操作更改爲其他內容。使用@ Html.Raw存在風險嗎?
A
回答
5
@Html.Raw將允許執行該值上顯示的任何腳本。如果您想防止您需要使用@Html.AttributeEncode
4
正確,風險在於如何使用它。 Html.Raw沒有固有風險。這是一個工具,僅此而已。
2
如果顯示用戶輸入的信息,最好使用@ Html.Encode()。
換句話說,如果你是displaying non-user eneterd data你是安全的去與@ Html.Raw()
+1
這是一個很好的觀點,我完全同意:)但我的用法是打算從html助手輸出一個輸入框,所以我認爲我會安全。 –
相關問題
- 1. 使用int作爲主鍵存在安全風險嗎?
- 2. 傳遞ContentResolver有風險嗎?
- 3. AHAH是安全風險嗎?
- 4. 風險使用PHP的eval
- 5. 可見的.git文件夾存在安全風險嗎?
- 6. 風險
- 7. 風險
- 8. 在IDisposable中使用靜態方法有風險嗎?
- 9. java.util.concurrent.locks.Lock的AutoCloseable包裝中存在風險?
- 10. 問一個不存在的javascript參數有風險嗎?
- 11. 使用Flex時存在什麼安全風險
- 12. 資產使用/ bundles/path是否存在任何安全風險?
- 13. 使用<noscript>是否存在安全風險?
- 14. 是否使用dirname(__ FILE__)存在安全風險?
- 15. 爲什麼使用'*'作爲postMessage的targetOrigin存在安全風險?
- 16. SP_OACreate,SP_OAMethod等的使用是否存在安全風險?
- 17. 使用MDN綁定polyfill是否存在風險?
- 18. 幀指針省略?有風險嗎?
- 19. 死鎖風險
- 20. 風險的mod_proxy
- 21. 我的HTML表單有風險嗎?
- 22. 這是有風險的代碼嗎?
- 23. 使用@ Html.Raw在javascript函數
- 24. Web服務器允許緩存HTTPS響應存在安全風險嗎?
- 25. 使用Iframe會帶來安全風險嗎?
- 26. 重複使用分支名稱有風險嗎?
- 27. Django SECRET_KEY風險
- 28. 使用Maven依賴項的風險
- 29. 個人使用泡椒安全風險
- 30. 使用Rational Team Concert有哪些風險?
而且同樣可以說,大約芥末。或芥末氣。 – 2012-06-21 19:02:53