asp.net – MvcHtmlString.ToHtmlString()不编码HTML?
发布时间:2020-12-16 04:22:25 所属栏目:asp.Net 来源:网络整理
导读:与此 question相关,我在ASP.NET MVC项目中使用XSS问题,并且与MvcHtmlSTring.ToHtmlString()方法混淆.从 documentation“返回一个代表当前对象的HTML编码字符串.”,但它在我的情况下不起作用: var mvcHtmlString = MvcHtmlString.Create("SCRIPT/XSS SRC="h
与此
question相关,我在ASP.NET MVC项目中使用XSS问题,并且与MvcHtmlSTring.ToHtmlString()方法混淆.从
documentation“返回一个代表当前对象的HTML编码字符串.”,但它在我的情况下不起作用:
var mvcHtmlString = MvcHtmlString.Create("<SCRIPT/XSS SRC="htpp://ha.ckers.org/css.js">").ToHtmlString(); var encoded = HttpUtility.HtmlEncode("<SCRIPT/XSS SRC="htpp://ha.ckers.org/css.js">"); 输出mvcHtmlString <SCRIPT/XSS SRC="htpp://ha.ckers.org/css.js"> 输出编码< - 这是我怀疑的行为! <SCRIPT/XSS SRC="htpp://ha.ckers.org/css.js"> 我错过了什么? 解决方法
MvcHtmlString(或
HtmlString,或实现
IHtmlString的任何内容)用于字符串,应该逐字地发出HTML – 即通过使它成为MvcHtmlString,你告诉它你真的想要那些HTML标签.
不同之处在于使用<%:..%>将字符串发送到ASP.NET页面时(ASP.NET 4或更高版本中的新增功能).在这种情况下,ASP.NET引擎将为您自动HtmlEncode常规字符串(或任何不实现IHtmlString的字符串),而MvcHtmlString将以逐字/未编码的形式发送到页面中. 即我认为文件是错误的.有一个connect ticket在HtmlString构造函数文档中有相同的错误,他们确实修复了它. (我以为我提出了这样的说法: – /或许我的关闭是别人的副本?)我没有注意到MvcHtmlString文档也是错误的. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net-mvc – AppDomain.GetAssemblies和BuildManager.Ge
- asp.net-mvc – 实体框架:已经有一个与此命令关联的开放Da
- asp.net – 将页脚粘贴到页面底部的方法
- asp.net – 在jQuery对话框中的窗体中,MVC中通常采用的方法
- asp.net – Telerik radGrid网格和列宽的最佳实践
- asp.net-mvc – 为dnx rc2运行MVC 6 ASP.NET 5本地化示例
- 模拟ASP.NET声明身份到Windows身份
- asp.net-mvc-4 – ASP.NET MVC 4在哪里存储帐户信息?
- asp.net – 如何在页面加载中以编程方式向页面添加控件?
- oauth-2.0 – 在MVC6应用程序中的OAuth令牌到期
推荐文章
站长推荐
- asp.net – 在.NET应用程序上使用Phantom JS生成
- asp.net 读取并修改config文件实现代码
- httphandler – AjaxToolkit IIS7 Asp.Net 4.0:
- asp.net-mvc – MVC表单LoginUrl不正确
- 将异常传递到ASP.net/C#中的错误屏幕
- ASP.NET发送电子邮件
- asp.net-mvc-4 – NReco.PdfGenerator服务器上的
- 使用名为“PropertiesController”的控制器的ASP
- (18)ASP.NET Core 基于现有数据库创建EF模型(
- 一步一步创建ASP.NET MVC5程序[Repository+Autof
热点阅读