asp.net – 转义HTML实体并避免WebForm标签中的HTML注入?
所以,我以为我是一个“资深的”ASP.NET WebForms开发人员;但是,我最近遇到了这个问题并且(令人不快地)惊讶于输出没有被转义:
<asp:Label Text='<%# Eval("UserData") %>' runat="server" /> Eval返回“< h1>笑话在你身上”的成像,或者对页面的正确呈现/安全性更恶意的事物. 有一个标签而不是<%#%>的原因直接是这样,正如错误推测的那样,“UserData”的内容将被正确地转义为HTML.然而,显然不是这种情况,并且上述情况导致< h1>.在HTML标记中创建的元素. 然后问题可以提炼为: 给定任意用户输入,即将其显示为“纯文本”,将数据插入页面(跨度)并正确转义的简单/可靠/安全方法是什么? 如上所述,它应该在数据绑定控件的上下文中运行.我知道HttpUtility.HtmlEncode,但我想接受仍然使用控件的想法 – 也许我错过了这个任务的标准控件 – 安全地表示这种情况,而不需要包装Eval.如果这是误导的,基于逻辑或经验,最好包括在回复中.我不会拒绝在这种情况下我使用Label完全不合适的观点. 不幸的是,由于需要在SharePoint 2010上下文中运行,我的目标是ASP.NET for .NET 3.5,而不是ASP.NET 4. 解决方法
关于什么:
<asp:Label Text='<%#: Eval("UserData") %>' runat="server" /> 这会逃避eval的输出,这只适用于.NET 4. 对于.NET 3.5,解决方案可以是: 代码隐藏: public object EvalEncode(object container,string expression) { string ouput = DataBinder.Eval(container,expression).ToString(); return HttpUtility.HtmlEncode(ouput); } 标记: <%# EvalEncode(Container.DataItem,"Text") %> 而不是使用HttpUtility.HtmlEncode,使用AntiXSS库可能更好.对于.NET 4用户,它已经被支持到框架中. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 在ASP.NET中清除FileUpload内容
- asp.net-mvc – ASP MVC 3在不同的视图中使用不同的布局
- 如何在asp.net中真正注销
- asp.net-core – openid connect – 在登录期间识别租户
- 在ASP.NET 5中获取AuthenticationProperties
- asp.net-mvc-2 – ASP.NET MVC:如何解析url字符串以获取Ro
- asp.net-mvc – Asp.net Mvc 2.0 RC设置线程CurrentCulture
- asp.net – 自上一步以来,进程或线程已更改
- asp.net-mvc – 如何使用Html.Action?
- 在asp.net发送简讯到大约10000封电子邮件
- asp.net – 我的自定义httpModule没有被MVC检测到
- asp.net-mvc – ASP.NET MVC术语让我沮丧 – 为什
- ASP.net图表控件:隐藏除数据点之外的所有行(轴等
- asp.net-mvc – ASP.NET MVC表格重新填充
- asp.net-mvc – 如何GetBytes()在C#与UTF8编码与
- ASP.net – Crystal Reports导出为PDF会将字母“
- asp.net – imagebutton onclientclick和onclick
- Asp.NET DropDownList在PostBack之后重置Selecte
- asp.net – SignalR中的最大消息限制
- ASP.NET Repeater以及分页控件AspNetPager