【发布时间】:2010-04-27 17:28:27
【问题描述】:
我已经发布了一个与这个问题密切相关的问题。我与 P. Haacked 和 S. Hanselman 一起观看了 Mix10 视频。
我正在构建一个支持 AJAX 的网站,其输入表单是动态创建的。
完成此操作的所有代码都在脚本标记或 javascript 文件中完成。例如,当页面加载时会创建以下 DOM 元素,并将其包装到视图中定义的现有 div 中:
$('#myform').append('); $('#myform').append('');
当我单击提交按钮时,我需要获取 id 为“名称”的输入表单的值: $("#Name").val() 然后我返回一个 Json 对象: { Name: name };
对于这种情况,无法在客户端使用 Html.Encode() 或 AntiXss.HtmlEncode()。检查输入是否无害的唯一方法是在服务器端(通过服务层)。
这似乎是一个限制。当且仅当视图具有一组预定义的输入时,一切都很好。当需要即时创建它们时,情况就不同了。
你们想过那种情况吗?
感谢您对此的关注。
罗兰 比利时布鲁塞尔
【问题讨论】:
标签: asp.net asp.net-mvc json scripting cross-site