是否有任何Santizing ModelBinders?
问题描述:
我很好奇,如果有人使用ModelBinder在绑定时清理输入。这似乎是一个有用的功能,但我没有看到关于这个话题的很多讨论。有没有人有任何输入?是否有任何Santizing ModelBinders?
答
就我个人而言,我不会在输入类型中进行消毒(当然,验证除外)。我在输出时进行清理。例如,当您需要在从不受信任来源(例如您网站的用户)获得的视图上输出HTML时,可以使用AntiXss库。但是,如果应用程序不需要接受来自用户的HTML并显示该HTML而没有编码,则标准Html.DisplayFor帮助程序(或WebForms的相应标记<%:或Razor的@)在大多数情况下都可以完成这项工作。