代码之家  ›  专栏  ›  技术社区  ›  Josef Pfleger

Antixss.javascriptencode包装产生单引号的原因有充分的理由吗?

antixsslibrary xss asp.net
  •  5
  • Josef Pfleger  · 技术社区  · 16 年前

    我一直在使用 Microsoft's AntiXss Library 想知道为什么 JavaScriptEncode 方法将结果用单引号括起来?这种行为似乎不合常规。

    2 回复  |  直到 9 年前
        1
  •  5
  •   Erlend    16 年前

    实际上,新的3.0版本有一个标记javascriptencode(字符串输入,bool flagforquote)。将其设置为false,将生成不带引号的结果。

    http://www.microsoft.com/downloads/details.aspx?familyid=051EE83C-5CCF-48ED-8463-02F56A6BFC09&displaylang=en

        2
  •  1
  •   D. Patrick    16 年前

    可能是为了确保它返回一个字符串。我看到的用法是接受输入并返回一个可以在javascript中分配给变量的值。

    var message=<%=antixss.javascriptencode(message)%>;

    现在,不管消息中包含什么,JS变量消息都将正确地转义确切的输入,因此,如果某个混蛋试图向该消息中注入javascript,他们只会看到将消息分配给消息变量的结果。

    推荐文章
    Alireza Noori  ·  全局配置用于本地化的MudDontext验证消息?
    3 月前
    user1946932  ·  .Net正则表达式在所有字符前添加空格
    5 月前
    thedisplayedName  ·  “当前上下文中不存在名称”TextBox“在一些教程中出现错误
    5 月前
    TSDrake  ·  发布ASP。没有特定文件夹的.NET应用程序
    5 月前
    Hiroco  ·  传递到ViewDataDictionary的模型项的类型为“x”,但此ViewDataDictionary实例需要类型为“y”的模型项
    9 月前
    Vengat Ramanan  ·  用户登录Asp时隐藏导航和页脚。网络核心
    10 月前
    Maxim Rudolovskii  ·  在ASP.NET中,有没有从查询字符串中获取复杂对象的方法。网8?
    10 月前
    ramamoorthy_villi  ·  输入验证错误外键字段
    10 月前
    Enderbyte09  ·  ASP。NET Core绝对拒绝在其他端口上托管
    11 月前
    SoundWaves  ·  通过IP从asp.net Web表单使用ESC/P打印到Brother P-Touch
    11 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号