为了安全起见,正常的Post提交是不允许提交诸如<>$/等敏感字符的(有点类似脚本注入)。如果用户需要提交这些数据,就需要在model的相应属性上附加AllowHtmlAttribute或者在Action上附加ValidateInputAttribute(false)来实现。
但是关闭验证之后程序就存在XSS跨站脚本攻击,这时就需要 引入 AntiXss 来对数据进行验证。(使用html.encode方法无法对一些恶意的字符进行验证)。
一篇很好的文章讲述使用AntiXss防止跨站脚本攻击:https://www.cnblogs.com/onepiece_wang/p/3669728.html
原文:https://www.cnblogs.com/vichin/p/12306544.html