ASP.NET中自动HtmlEncode
被
Ruby on Rails(3)宠坏了,我希望我的所有HTML输出都能自动编码.
我早些时候问过这个question about script exploits,现在我想知道,是否有一些ASP.NET的设置,插件或扩展会自动导致所有HTML被HtmlEncode’或者我必须非常小心并确保我自己? 解决方法
各种ASP.NET控件使用HtmlEncode自动编码HTML(还有一些使用UrlEncode进行URL编码),但它不是通用的.这是一个控件列表以及它们自动执行的编码(如果有).我不知道它是否针对.NET 4.0进行了更新:
Which ASP.NET Controls Automatically Encodes?(此链接将要求您保存文档) 这是上述文档来自的博客: http://blogs.msdn.com/b/sfaust/archive/2008/09/02/which-asp-net-controls-automatically-encodes.aspx 它最初发布于2008年9月,所以它可能是2.0的当前版本,但不一定是4.0版本.尽管如此,IMO仍然是一个有用的资源. 你还应该看一下Microsoft Anti-Cross Site Scripting Library 3.1. 正如balexandre所指出的,Anit-XSS库现在似乎是开源Web Protection Library的一部分: Microsoft Web Protection Library 此外,OWASP是一个很好的安全信息资源,他们有一个企业安全API项目(ESAPI),可以(在不同程度上)以各种编程语言提供.我相信,.NET还没有完成. OWASP Enterprise Security API (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – GetExternalLoginInfo在Google OWIN提供程序上返
- 定期刷新局部视图(ASP.Net MVC)
- asp.net – 如何从控制器操作设置ModelState true
- 第11章 ASP.NET Web API
- asp.net-mvc – 防止用户没有确认的电子邮件登录ASP.NET MV
- asp.net – 可以从Web API访问HttpContext.Current.Session
- 将我的思维模式从ASP.NET迁移到ASP.NET MVC(2)时需要了解哪
- asp.net – 为什么IFormFile显示为null,我该如何解决?
- asp.net-mvc – ASP.NET核心映射到静态文件处理程序的路由
- asp.net – WebAPI错误404.0 – 未找到
- asp.net-mvc – 没有CreateMap的简单转换时的Aut
- asp.net – 在项目之间共享aspx页面
- asp.net-mvc – MVC5 Microsoft.CSharp.RuntimeB
- asp.net-mvc – 请在ASP.NET MVC中等待页面
- 具有EntityDataSource的一个ASP.NET GridView中的
- asp.net – 无法将ValueProviderFactory添加到We
- asp.net – Web部署项目构建不再属于项目的文件
- 如何使用ASP.NET MVC设计CSS?
- asp.net – 选择框更改事件中的setTimeout
- asp.net-mvc – ASP.NET MVC:默认页面上的Autho