ASP.NET中自动HtmlEncode

发布时间：2020-12-16 06:37:40 所属栏目：asp.Net 来源：网络整理

导读：被 Ruby on Rails(3)宠坏了,我希望我的所有HTML输出都能自动编码. 我早些时候问过这个question about script exploits,现在我想知道,是否有一些ASP.NET的设置,插件或扩展会自动导致所有HTML被HtmlEncode’或者我必须非常小心并确保我自己？解决方法各种ASP

被 Ruby on Rails(3)宠坏了,我希望我的所有HTML输出都能自动编码.

我早些时候问过这个question about script exploits,现在我想知道,是否有一些ASP.NET的设置,插件或扩展会自动导致所有HTML被HtmlEncode’或者我必须非常小心并确保我自己？

解决方法

各种ASP.NET控件使用HtmlEncode自动编码HTML(还有一些使用UrlEncode进行URL编码),但它不是通用的.这是一个控件列表以及它们自动执行的编码(如果有).我不知道它是否针对.NET 4.0进行了更新：

Which ASP.NET Controls Automatically Encodes?(此链接将要求您保存文档)

这是上述文档来自的博客：

http://blogs.msdn.com/b/sfaust/archive/2008/09/02/which-asp-net-controls-automatically-encodes.aspx

它最初发布于2008年9月,所以它可能是2.0的当前版本,但不一定是4.0版本.尽管如此,IMO仍然是一个有用的资源.

你还应该看一下Microsoft Anti-Cross Site Scripting Library 3.1.

正如balexandre所指出的,Anit-XSS库现在似乎是开源Web Protection Library的一部分：

Microsoft Web Protection Library

此外,OWASP是一个很好的安全信息资源,他们有一个企业安全API项目(ESAPI),可以(在不同程度上)以各种编程语言提供.我相信,.NET还没有完成.

OWASP Enterprise Security API

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!