使用非文本输入字段时是否需要检查脚本注入?

问题描述 投票:0回答:1

我正在使用asp.net核心剃须刀,并且具有以下形式:

<input type="date" value="..." .../>

我是否需要在后端进行验证以防止恶意用户使用浏览器(在chrome上,单击“检查”然后进行编辑)将类型编辑为“文本”,然后注入脚本标签,例如:

<input type="text" value="<script>alert('boo');</script>" />

他提交表格之前?

asp.net-core
1个回答
0
投票
我是否需要在后端进行验证以防止恶意用户使用浏览器(在chrome上,单击“检查”然后进行编辑)将类型编辑为“文本”,然后注入脚本标签,例如:

是,在分布式系统中because you must never trust the client(在Web应用程序中,您的HTML + JS前端是客户端,您的Web服务器端代码是服务器)。

https://stackoverflow.com/a/4076951/159145

© www.soinside.com 2019 - 2024. All rights reserved.