gpt4 book ai didi

asp.net - 已经 Html 编码的 Html 编码值

转载 作者:行者123 更新时间:2023-12-04 06:36:08 28 4
gpt4 key购买 nike

我们最近接手了一个 .NET 项目,在查看 db 后,我们在某些列中有以下内容:

1)某些列具有诸如" & etc etc
2) 有些有 <script>标签和其他非 html 编码的标签

这些数据显示在整个网站上。在点号 1 上尝试 HtmlEncoding 时,我们得到以下 &quot; -> &amp;quot;
显然,当显示第 2 点包含我们不想执行的 javascript 时,我们想要 htmlencode。

有没有办法对可能已经编码或尚未编码的值使用 HtmlEncoded?

最佳答案

Is there a way to use HtmlEncoded on values that might or might not be already encoded?



不,没有。

我建议您编写一个快速脚本,通过数据库和 取消编码 已经编码的数据。然后使用 Microsoft AntiXSS 之类的东西库(教程 here)在输出到网页之前对所有输出进行编码。请记住,可以存储未编码的数据1,危险在于您将其回显给最终用户。

一些控件已经使用 .Net 框架中内置的编码功能对输出进行了编码——这对 XSS 来说不是万无一失的——你只需要避免使用这些控件,或者只是不对它们显示的数据进行编码。有一个关于 MS 控件的常见问题解答问题,该问题在页面底部为您应该阅读的第一个链接进行编码。此外,一些第三方控件供应商对其控件的输出进行编码,如果您测试它们以确保它们仍然不受 XSS 的影响,您会帮自己一个忙。

1不要忘记采取措施防止 SQL 注入(inject) 尽管!

关于asp.net - 已经 Html 编码的 Html 编码值,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4861083/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com