从后端直接返回HTML代码有哪些坏处。除了脚本注入

[已解决问题] 解决于 2014-07-10 20:26

asp.net mvc

梦回周公 | 菜鸟二级 | 园豆：218
提问于：2014-07-06 18:49

< >

最佳答案

不方便阅读

难以维护

奖励园豆：5

诶碧司 | 小虾三级 |园豆：1912 | 2014-07-07 00:43

其他回答(3)

从代码的结构化就可以看出，整个类让人眼花缭乱，而且修改起来是非常吃力的。特别是在代码量多的情况之下。给后期的维护和代码审核带来严重的负担。

CheneyHan | 园豆：223 (菜鸟二级) | 2014-07-07 12:41

什么是后端，你是指在代码中拼接html吗？

angelshelter | 园豆：9887 (大侠五级) | 2014-07-07 15:03

只要编码正确XSS也是可以避免的,但要注意javascript中和html编码方式是不一样的(如mvc中Encoder.JavaScriptEncode(str)和Html.Encode(str) ）。

主要问题是：

1.显然，不方便阅读

2.难以维护。想象一下，你改一个字体的颜色或大小都要更改编译后端代码，这对于一个正常运营的网站风险和工作量都是很大的。

Lucien! | 园豆：371 (菜鸟二级) | 2014-07-08 22:56

谢谢你的回答

html中可以嵌入一个隐藏的iframe还是有风险的。如果有人上传了一个网页木马再嵌入iframe。

支持(0) 反对(0) 梦回周公 | 园豆：218 (菜鸟二级) | 2014-07-09 09:57

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。