那些遇到过的问题

Bind()或Eval()会自动使用HtmlEncode来防范XSS吗?

Dav*_*vid 14 asp.net data-binding xss

如果这是一个愚蠢的问题,请原谅我.我未能找到明确说明的答案.

我很少在我的aspx页面中使用Bind()或Eval(),而是使用以下语法:(假设这是在Repeater控件中的ItemTemplate中)

<asp:Label id="lblFirstName" runat="server" Text='<%# Microsoft.Security.Application.AntiXss.HtmlEncode(DataBinder.Eval(Container.DataItem, "FirstName").ToString()) %>
Run Code Online (Sandbox Code Playgroud)

我很久以前就开始这么做了,根本就没有质疑它,但现在我发现这可能是矫枉过正的.现在我正在使用一个在整个地方都使用这种语法的CMS:

<asp:Label id="lblFirstName" runat="server" Text='<%# Bind("FirstName") %>
Run Code Online (Sandbox Code Playgroud)

所以我想知道,基本上,如果我使用Bind()或Eval()运行时自动HtmlEncode输出?我一直在做不必要的编码吗?

Mit*_*ers 19

Bind()和Eval()不做任何事情来阻止那种类型的事情并且不进行编码.<%# %>样式代码块也没有.

但是,如果您使用的是ASP.NET 4及更高版本,则可以使用<%: %>Blocks来处理响应写入类型情况和<%#: %>数据绑定情况.

斯科特格思里有一篇很棒的文章.

归档时间:

查看次数:

8582 次

最近记录:

12 年,11 月 前
相关归档
如何在C#中创建JSON字符串 222
c#/ Linq总和在哪里 20
Response.Write和UpdatePanel 13
Azure DocumentDB读取文档资源未找到 12
将FormsAuthentication cookie传递给WCF服务 11
在TemplateItem中绑定CheckBox的Checked属性 11
如何将IQueryable转换为DataTable 10
.Net客户端的免费短信网关 10
禁用ASP.NET气球弹出窗口 9
WPF DataGrid - 创建新的自定义列 8
难疑归档
在JavaScript中创建GUID/UUID? 3915
何时在CSS中使用margin和padding 2277
将字节转换为字符串? 1968
npm package.json文件中依赖项,devDependencies和peerDependencies之间有什么区别? 1872
.gitignore和.gitkeep有什么区别? 1776
<快于<=? 1508
尝试抓住加速我的代码? 1463
match_parent和fill_parent有什么区别? 1371
Android中的gravity和layout_gravity有什么区别? 1286
如何获取Android应用程序的构建版本号? 1198