我需要消毒传递给我的控制器或只是丰富的html编辑器的所有字符串值吗?
那么输入类型文本字段呢?
<input type="text" name"test1" value="<script></script>" />
public ActionResult TestAction(string test1){ //save in db }
始终对发送到服务器的数据进行消毒。您不希望任何人随意地向您的服务器发送任何类型的数据。一些HTML标记,比如<script>元素,可能是有害的。您不希望用户在您的内容页面中存储JavaScript代码,因为这可能会对其他用户造成恶意。