Asp.Net MVC之防止用户注入脚本参数
2024-08-31 03:41:53
假设有一个Controller,代码如下:
public string Browse(string genre)
{
string message = "Store.Browse, Genre = " + genre;
return message;
}
当用户输入http://localhost:5412/Store/Browse?genre=<script>window.location='https://www.baidu.com'<script>的时候会执行参数中的脚本。
为了阻止用户向视图中注入JS脚本或者HTML标记,需要把代码改成下面这样:
public string Browse(string genre)
{
string message = HttpUtility.HtmlEncode("Store.Browse, Genre = " + genre);
return message;
}
使用HttpUtility.HtmlEncode可以预处理用户输入。
最新文章
- 【BZOJ 4579】【Usaco2016 Open】Closing the Farm
- ubuntu 14.04 以root权限启动chrome
- 【leetcode】Reverse Words in a String
- Ipython console in Spyder stuck on “connecting to kernel”
- .net学习之多线程、线程死锁、线程通信 生产者消费者模式、委托的简单使用、GDI(图形设计接口)常用的方法
- kail-linux 下载地址
- sharepoint 2010 中获取system账号的真实账号
- codeforces #268 div2 D
- IOS-tableViewCell重用机制
- Javascript 文件的同步加载与异步加载
- HDU 1028 HDU Ignatius and the Princess III
- PowerBI开发 第七篇:数据集和数据刷新
- gem安装redis库时报错
- py-day4-3 python 内置函数 man和mix的高级使用
- 小程序上传wx.uploadFile - 小程序请假
- Flash10 使用剪贴板得改变程序的写法了
- mssql名词解释
- UVA-10305 Ordering Tasks (拓扑排序)
- 连接池中的maxIdle,MaxActive,maxWait等参数详解
- C++-教程1-VS2010环境设置
热门文章
- 【拓扑排序】CDOJ1635 琵琶弦上说相思,当时明月在,曾照彩云归
- android:scrollbarStyle属性及滚动条和分割线覆盖问题
- Problem F: 尖兵
- ob_flush()和flush()和ob_implicit_flush(true)
- Apache静态编译与动态编译详解
- 解决新浪微博API调用限制 突破rate_limit_status瓶颈
- 用xib自定义UIView并在代码中使用--iOS
- JS isNaN()函数
- Spring Dataflow批处理框架在OCP上的部署
- iOS:时间格式化(标准时间转为时间戳、时间戳转为标准时间、时间戳转为日期)