Asp.net mvc 这种MVC方法是否足够安全，可以对抗与重新显示用户输入相关的XS？_Asp.net Mvc_Xss

Asp.net mvc 这种MVC方法是否足够安全，可以对抗与重新显示用户输入相关的XS？

asp.net-mvc

Asp.net mvc 这种MVC方法是否足够安全，可以对抗与重新显示用户输入相关的XS？,asp.net-mvc,xss,Asp.net Mvc,Xss,对于处理发布评论的操作，我已将ValidateInput属性设置为false。我正在使用html.encoding通过使用此语法重新显示注释我在commentbox中发布了下面的代码，并且评论确实被发布了，因为脚本标记完好无损，但没有实际的警报。这是可以接受的，对吗 <script type="text/javascript"> alert("t"); </script> 警报（“t”）；现在，我知道我仍然需要注意URL相关的攻击，但是对于重新显示输入，这种方法足

对于处理发布评论的操作，我已将ValidateInput属性设置为false。我正在使用html.encoding通过使用此语法

重新显示注释

我在commentbox中发布了下面的代码，并且评论确实被发布了，因为脚本标记完好无损，但没有实际的警报。这是可以接受的，对吗

<script type="text/javascript"> alert("t"); </script>

警报（“t”）；

现在，我知道我仍然需要注意URL相关的攻击，但是对于重新显示输入，这种方法足够安全吗

编辑：注释是我唯一允许使用诸如“Yes这样的字符的地方。您的方法是安全的，因为您使用的是

”大多数其他输入框都是字母数字“-这不会阻止恶意用户手动向您的服务器提交帖子，其输入字段的值不受限制，这就是为什么无论您是否也在进行客户端验证，始终进行服务器端验证都很重要的原因。@Wily'sApprentice博士我正在进行客户端和服务器端的字母数字验证。您的“旁注”让我不知所措。请你把你说的话改一下好吗？