代码之家 › 专栏 › 技术社区 › Achilles

HTML.Encode()-它如何防止ASP.NET中的脚本安全问题?

security asp.net

Achilles · 技术社区 · 15 年前

当我处理用户输入,特别是脚本问题时,HTML.Encode()为我提供了什么安全保护?

2 回复 | 直到 15 年前

Andrew Hare 15 年前

请看 Server.HTMLEncode :

HTMLEncode方法应用HTML 编码为指定的字符串。这作为一种快速的测试方法非常有用对表单数据和其他客户端数据进行编码在应用程序中使用数据之前,请先请求数据与它们的HTML编码等效。

如果要编码的字符串不是 DBCS,HTMLEncode转换字符

小于字符(<)将转换为 < .

大于字符(>)将转换为 > .

符号和字符(&)转换为 & .

双引号字符(“)转换为 " .

代码大于或等于0x80的任何ASCII码字符转换为 &#<number> 是ASCII字符值。

这意味着,如果您要将某些数据转储到请求流,并且该数据是从用户输入的字段保存到数据库的,则会阻止用户说出他们的名字:

<script type="text/javascript">
    function doSomethingEvil() { /* ... */ }
</script>

在这个例子中, Server.HTMLEncode 将对 < > 和 " 离开此位置的字符:

&lt;script type=&quot;text/javascript&quot;&gt;
    function doSomethingEvil() { /* ... */ }
&lt;/script&gt;

如果在浏览器中渲染,其外观如下所示:

<script type=“text/javascript”> 函数doSomethingEvil(){/*…*/} </脚本>

BlackTigerX Borut Tomazin 15 年前

它可以防止XSS(跨站点脚本)攻击,因为如果阻止

推荐文章

Community wiki · 为什么使用DirectoryEntry对LDAP进行身份验证会间歇性地抛出COMException(0x8007203A):“服务器不可操作”?

1 年前

PixelScribe · 实体框架EDMX未更新ASP.NET web应用程序中的连接字符串

1 年前

Hua Deng · page_load中的调用方法导致adapter.fill()上出现StackOverflowException,但在其他地方调用时没有问题

1 年前

WingiM · REST API-如何实现具有相同名称但可接受参数类型不同的多个方法

1 年前

Community wiki · 基于两个参数在文本框中使用上下文键自动完成?

1 年前

NAM3L3SSRJ · 如何在C语言中创建一个方法或函数,在超市销售时减少数据库中的库存

2 年前

Javad A salehi · C#如何解析“MyValue”的动态值

2 年前

AlÄ±yev Rufet · 无法构造某些服务(验证服务描述符的服务类型时出错:Restaurant.Data.IAppRepository

2 年前

Geoff · 从Microsoft Identify Platform获取访问令牌

3 年前

Haim Ohayon · 这些链接之间有什么区别?

3 年前