我有一个用于创建备忘录的表单,为了提供一些样式,我有一个丰富的文本编辑器,这样创建html标签以应用样式。当我发布该文本mvc抛出一个错误,以防止潜在的危险脚本,所以我必须具体允许它。
我已经找到了2种方法,装饰控制器方法whit [ValidateInput(false)]或装饰viewmodel属性whit [AllowHtml]
对我来说,[AllowHtml]看起来更好,但我只发现这种方法使用了1次,而[ValidateInput(false)]接缝是首选方式。
所以我想知道你的想法,我应该使用哪一个? 2之间有什么区别?
TKS
解决方法
ValidateInput和AllowHTML与
XSS安全问题直接相关。
所以让我们先来试一试了解XSS。
XSS(跨站点脚本)是攻击者在进行数据输入时注入恶意代码的安全攻击。现在的好消息是,默认情况下,XSS是在MVC中禁止的。因此,如果有人尝试发布JavaScript或HTML代码,他将使用以下错误。
但是,实际上还有一些需要允许HTML的情况,比如HTML编辑器。因此,对于这些场景,您可以使用以下属性来装饰您的动作。
[ValidateInput(false)]
public ActionResult PostProduct(Product obj)
{
return View(obj);
}
但等等,这里有一个问题。问题是我们允许HTML完整的操作可能是危险的。所以,如果我们可以对现场或财产水平进行更精细的控制,真正创造一个整洁,专业的解决方案。
那就是AllowHTML是有用的。您可以在下面的代码中看到,我已经在产品类属性级别上装饰了“AllowHTML”。
public class Product
{
public string ProductName { get; set; }
[AllowHtml]
public string ProductDescription { get; set; }
}
因此,总结“ValidateInput”允许脚本和HTML在“AllowHTML”处于更细粒度的级别上发布在操作级别上。
我建议您更多地使用“AllowHTML”,直到您确定整个操作需要裸体。
我会建议您阅读博客文章Preventing XSS Attacks in ASP.NET MVC using ValidateInput and AllowHTML,其中展示了一个关于这两个属性的重要性的一个例子。
