作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我想在我的网络应用程序中使用 AntiXss 库函数。我有一个 Web 应用程序,其中包含代码隐藏的 Jquery 代码的 asp.net 页面。整个 asp.net 页面通过 Jquery js 页面运行。我想将编码功能应用于某些字段,但问题是如何应用以及在何处应用编码函数 - (在 jquery 页面中,在服务器端代码中设置值以显示在输出窗口 0r 上,其中获取数据 API 被调用在 cs 文件中。)以及在这种情况下使用哪个函数(HtmlEncode、JavascriptEncode 等)
提前致谢
最佳答案
防止 XSS 攻击背后的基本思想是所有输入数据(来自用户或外部应用程序)都应被视为不受信任/不安全的,因此必须在接受时进行验证和/或在输出时进行编码(html , js 等)。
AFAIK,AntiXss
是一个服务器端库,因此您不能使用它在浏览器中对值进行编码。在将这些值发送到客户端之前,您必须在服务器端应用编码(到 html/html 属性/JS 等)(例如,在 aspx 页面或 asmx/SCF 服务中,这些服务将数据发送到 java 脚本将处理的客户端数据作为 html 或脚本)。
查看此 article - 虽然它已过时,但它仍然是从 AntiXss 库开始的一个很好的资源,它还在 "Determining Encoding Method to Use" 下列出了使用各种编码方法的场景。
关于c# - 如何在我的项目中使用 AntiXss?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6210174/
我是一名优秀的程序员,十分优秀!