C'è un rischio nell'uso di @Html.Raw
? Mi sembra che non dovrebbe esserci. Se esiste un rischio, questo rischio non esisterebbe a prescindere dall'utilizzo di @Html.Raw
in quei browser moderni come Chrome consentirà un'iniezione di modifica di <script>malicious()</script>
o anche di modificare l'azione di un modulo in qualcos'altro.C'è un rischio nell'uso di @ Html.Raw?
risposta
@Html.Raw
consentirà l'esecuzione di qualsiasi script sul valore da visualizzare. Se si desidera impedire che sia necessario utilizzare @Html.AttributeEncode
Corretto, il rischio è in che modo viene utilizzato. Non c'è alcun rischio inerente a Html.Raw
. È uno strumento, niente di più.
Se si visualizzano le informazioni immesse dall'utente, è preferibile utilizzare @ Html.Encode().
In altre parole, se displaying non-user eneterd data
si sono sicuri di andare con @ Html.Raw()
Questo è un buon punto, e sono completamente d'accordo :) Ma il mio utilizzo è destinato all'output di una casella di input da un helper html, quindi penso che sarò al sicuro. –
- 1. RazorEngine - Usa Layout e Html.Raw
- 2. Differenza tra MvcHtmlString.Create() e Html.Raw()
- 3. Razor - HTML.RAW non emette testo
- 4. RazorEngine: non può usare Html.Raw
- 5. Alternativa di Html.Raw nei WebForms ASP.NET
- 6. Qual è l'equivalente di @ Html.Raw in Postal?
- 7. Rischio sicurezza di abilitazione MSDTC
- 8. @ Html.Raw insiste sulla codifica delle virgolette
- 9. Memoria rischio di perdite in JavaScript chiusure
- 10. Qualche rischio in un wrapper AutoCloseable per java.util.concurrent.locks.Lock?
- 11. Che rischio rappresenta Reflection? (Medium Trust)
- 12. Come disegnare 'rischio biologico' con altalena
- 13. rischio di attacchi di javascript injection con firebase
- 14. Comprensione del rischio di moduli di accesso non SSL
- 15. Intervalli di confidenza della funzione di rischio pacchetto muhaz
- 16. Memorizza Html.Raw() in una stringa in Javascript, ASP.NET MVC 3
- 17. qual è il rischio di "Ad Hoc query distribuite"
- 18. Converti un uint32_t in un int32_t senza rischio di overflow o eccessiva complessità
- 19. Qualche rischio usando un singolo simbolo di dollaro `$` come nome di una classe java?
- 20. Mostrare il messaggio di eccezione PHP potrebbe essere un rischio per la sicurezza?
- 21. Esiste il rischio che una gemma di Ruby agisca come un trojan?
- 22. I messaggi di eccezione/errore dettagliati rappresentano un rischio per la sicurezza?
- 23. I controlli chiari non li eliminano: qual è il rischio?
- 24. Perché Html.Raw sta eseguendo l'escape della e commerciale nel tag di ancoraggio in ASP.NET MVC 4?
- 25. Qual è il rischio per la sicurezza della riflessione dell'oggetto?
- 26. Come viene calcolato il grafico sulla finestra Rischio/Avanzamento NCrunch?
- 27. Esiste un rischio per la sicurezza che esegue app web in debug = "true"?
- 28. Come fare in modo che le ottimizzazioni del compilatore non introducano un rischio per la sicurezza?
- 29. La disabilitazione dell'accesso anonimo in IIS crea un rischio per la sicurezza?
- 30. In che modo l'identificatore __func__ è un rischio per la sicurezza?
E lo stesso si può dire di senape. O gas mostarda. –