asp.net mvc2是否是ValidateInput屬性是安全的？

Question

因爲我在我的asp.net MVC2項目安裝TinyMCE的，

我得到這個錯誤從 客戶端檢測

有潛在危險的Request.Form值

爲了擺脫我需要把這個屬性放在每個控制器上

[ValidateInput(false)] 
    [AllLocationAuthorizeAttribute] 
    public class LocationController : Controller 
    { 

第一個 題。這樣做是否安全？

Answer 1

AllowHtml屬性是最好的，以適應。

ASP MVC自動保護可能的腳本輸入並拋出異常。您可以使用AllowHtmlAttribute或ValidateInputAttribute（false）關閉它。

Razor引擎會自動編碼像@ model.SomeProperty這樣的字符串，就像HtmlHelper.Methods（）一樣。

編碼後<script>將是<script>所以在大多數情況下，沒有辦法恐慌。

有幫助的鏈接：ValidateInput and AllowHtml，Prevent XSS attacks