我最近注意到我的应用程序有一个很大的洞,因为我做了一些类似的事情:
<input type="text" value="<%= value%>" />
我知道我应该使用Html.Encode,但是有没有办法为所有的价值观做这件事,而不必明确地做这个?
解决方法
有几种方法:
>使用<%:%> ASP.NET MVC2 / .NET 4.0中的语法。 (这只是Html.Encode()的语法糖)
>使用Anti-XSS库作为ASP.NET的“默认”编码引擎,按照laid out by Phil Haack的详细说明进行操作。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。