假设有一个Controller,代码如下:

public string Browse(string genre)

{

    string message = "Store.Browse, Genre = " + genre;

    return message;

}

当用户输入http://localhost:5412/Store/Browse?genre=<script>window.location='https://www.baidu.com'<script>的时候会执行参数中的脚本。

为了阻止用户向视图中注入JS脚本或者HTML标记,需要把代码改成下面这样:

public string Browse(string genre)

{

    string message = HttpUtility.HtmlEncode("Store.Browse, Genre = " + genre);

    return message;

}

使用HttpUtility.HtmlEncode可以预处理用户输入。

最新文章

  1. 【BZOJ 4579】【Usaco2016 Open】Closing the Farm
  2. ubuntu 14.04 以root权限启动chrome
  3. 【leetcode】Reverse Words in a String
  4. Ipython console in Spyder stuck on “connecting to kernel”
  5. .net学习之多线程、线程死锁、线程通信 生产者消费者模式、委托的简单使用、GDI(图形设计接口)常用的方法
  6. kail-linux 下载地址
  7. sharepoint 2010 中获取system账号的真实账号
  8. codeforces #268 div2 D
  9. IOS-tableViewCell重用机制
  10. Javascript 文件的同步加载与异步加载
  11. HDU 1028 HDU Ignatius and the Princess III
  12. PowerBI开发 第七篇:数据集和数据刷新
  13. gem安装redis库时报错
  14. py-day4-3 python 内置函数 man和mix的高级使用
  15. 小程序上传wx.uploadFile - 小程序请假
  16. Flash10 使用剪贴板得改变程序的写法了
  17. mssql名词解释
  18. UVA-10305 Ordering Tasks (拓扑排序)
  19. 连接池中的maxIdle,MaxActive,maxWait等参数详解
  20. C++-教程1-VS2010环境设置

热门文章

  1. 【拓扑排序】CDOJ1635 琵琶弦上说相思,当时明月在,曾照彩云归
  2. android:scrollbarStyle属性及滚动条和分割线覆盖问题
  3. Problem F: 尖兵
  4. ob_flush()和flush()和ob_implicit_flush(true)
  5. Apache静态编译与动态编译详解
  6. 解决新浪微博API调用限制 突破rate_limit_status瓶颈
  7. 用xib自定义UIView并在代码中使用--iOS
  8. JS isNaN()函数
  9. Spring Dataflow批处理框架在OCP上的部署
  10. iOS:时间格式化(标准时间转为时间戳、时间戳转为标准时间、时间戳转为日期)