asp.net mvc2 является атрибутом ValidateInput безопасным?

Question

Поскольку я устанавливаю TinyMCE на моем MVC2 проекте asp.net,

Я получил эту ошибку

потенциально опасное значение Request.Form было обнаружено от клиента

избавиться из этого, я должен поместить этот атрибут на каждый контроллер

[ValidateInput(false)] 
    [AllLocationAuthorizeAttribute] 
    public class LocationController : Controller 
    { 

Первый вопрос. Безопасно ли это сделать?

Answer 1

AllowHtml атрибут лучше всего подходит.

ASP MVC автоматически защищает возможные входы сценариев и исключает исключение. Вы можете отключить его, используя AllowHtmlAttribute или ValidateInputAttribute (false).

Двигатель бритвы автоматически кодирует строки типа @ model.SomeProperty, так же как HtmlHelper.Methods().

После кодирования <script> будет <script> Так что в большинстве случаев паники не существует.

Полезные ссылки: ValidateInput and AllowHtml, Prevent XSS attacks