ASP.NET Core MVC 2.x 全面教程__ASP.NET Core MVC 19. XSS & CSRF
存库之前先净化,净化之后再提交到数据库
刚才插入的那笔数据
把默认的Razor引擎默认的EnCode去掉。Razor默认会开启htmlEnCodding
数据恢复回来
插入数据库之前对插入的数据进行净化,或者叫做给它编码
原来的数据删掉,新加一条数据
想显示为正常的html 的话就用Html.Raw
CSEF
同步令牌模式
双重提交cookie
.net core 就是使用的同步令牌模式
按钮隐藏了表单 模拟提交数据
在此模拟
会生成表单验证的token 隐藏域
全局设置
然后添加一个全局的Filter
官方文档:
、
不想加验证token。加下面这个属性就可以了