当我处理用户输入(特别是脚本问题)时,HTML.Encode() 为我提供了哪些安全保护?
请参见Server.HTMLEncode:
HTMLEncode 方法应用 HTML
编码为指定的字符串。这
作为一种快速方法很有用
编码表单数据和其他客户端
在您的应用程序中使用数据之前请求数据
Web应用程序。编码数据
转换潜在不安全的字符
到 HTML 编码的等价物。
如果要编码的字符串不是
DBCS、HTMLEncode 转换字符
如下:
- 小于号 (<.
- 大于号 (>) 转换为
>
.
- 与号字符 (&) 转换为
&
.
- 双引号字符 (") 转换为
"
.
- 代码大于或等于 0x80 的任何 ASCII 代码字符
被转换为
&#<number>
, 在哪里
是 ASCII 字符值。
这意味着,如果您要将一些数据转储到请求流,并且该数据是从用户输入的字段保存到数据库的,那么用户将无法说出他们的名字是:
<script type="text/javascript">
function doSomethingEvil() { /* ... */ }
</script>
在这个例子中,Server.HTMLEncode
会编码<
, >
, and "
留下这个的字符:
<script type="text/javascript">
function doSomethingEvil() { /* ... */ }
</script>
如果在浏览器中呈现,将如下所示:
函数 doSomethingEvil() { /* ... */ }
脚本>
而不是实际执行。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)