我有一個使用ASP.NET使用MVC框架版本2.0和實體框架構建的Intranet網站。XSS是ASP.NET MVC2和HTML文本框的問題嗎?
我感興趣的數據位之一是Notes。它以類型文本形式存儲在數據庫中。它使用實體框架保存和加載。它僅在文本框輸入中顯示在網頁上。數據根本不在服務器上使用。
所以問題是如果我關閉服務器上的驗證,這是否會造成XSS危險。在將它放入文本框輸入之前,我需要擔心編碼註釋。
評論1
我只使用.NET 3.5。我祈禱,一旦我離開Visual Studio 2008,將來會更新它;)
以下是我如何在網頁上放置註釋。
<%= Html.TextArea("Notes", null, new { rows = "10", style = "width:100%" }) %>
以上是Notes放入網頁的唯一方法。在服務器上,我做這樣的事情(我離開了那裏聲明):
var myStruct = (from u in myDB.dbSomeStruct
select u).FirstOrDefault();
myStruct.Notes = Notes;
myDB.SaveChanges();
如果輸出要放在文本框中,數據是否需要編碼?或者當它被塞進一個文本框時它可以被編碼? –