링크 이름을 데이터베이스에서 가져온 경우 Html.Encode 메서드를 호출하여 이름을 정리해야합니까?ASP.NET MVC에서 ActionLinks를 빌드 할 때 Html.Encode를 호출해야합니까?
Html.ActionLink(Model.PersonFromDB.FirstName,
"Action",
"Controller",
new RouteValueDictionary { { "id", Model.PersonFromDB.Id } },
null)
나 : 예를 들어
그것은 당신이<a>
와
</a>
사이에 페이지에 주입 더 위험한 문자열이 없는지 확인하기 위해이 작업을 수행 할 것이 나을
Html.ActionLink(Html.Encode(Model.PersonFromDB.FirstName),
"Action",
"Controller",
new RouteValueDictionary { { "id", Model.PersonFromDB.Id } },
null)
태그가 있지만 스크립트와 앵커 태그 사이에서 실행 가능합니까?
질문을 게시하고 답변을 표시 한 후이 사이트를 방문했지만이 질문에 비틀 거린 다른 사람들에게 도움이되는 것으로 나타났습니다. http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet –