2012-06-21 23 views
5

¿Existe un riesgo al usar @Html.Raw? Me parece que no debería haberlo. Si hay un riesgo, entonces ese riesgo ya no existiría independientemente de usar @Html.Raw en que los navegadores modernos como Chrome permitirán una inyección de edición de <script>malicious()</script> o incluso para cambiar la acción posterior de un formulario a otra cosa.¿Existe algún riesgo al usar @ Html.Raw?

Respuesta

5

@Html.Raw permitirá ejecutar cualquier script que esté en el valor para mostrar. Si desea evitar que necesite usar @Html.AttributeEncode

4

Correcto, el riesgo está en cómo se usa. No hay riesgo inherente en Html.Raw. Es una herramienta, nada más.

+10

Y lo mismo se puede decir de mostaza. O gas mostaza. –

2

Si está mostrando información ingresada por el usuario, es mejor usar @ Html.Encode().

En otras palabras, si usted es displaying non-user eneterd data que son seguros para ir con @ Html.Raw()

+1

Este es un buen punto, y estoy completamente de acuerdo :) Pero mi uso está destinado a generar un cuadro de entrada desde un helper html, así que creo que estaré a salvo. –

Cuestiones relacionadas