gra*_*ady 13 asp.net html-encode
我有一个显示包含<和>的字符串的文本字段.因此,代码会抛出错误.如何在文本字段中允许使用这些字符?
谢谢 :)
Art*_*miy 22
问题是当它被发布到服务器时,它将无法工作,无论你尝试什么.这是ASP.NET XSS保护,可以像这样禁用:
<%@ Page ... ValidateRequest="false" %>
麻烦的是,你必须非常小心地自己验证所有的回发.更简单的方法是在发布之前使用javascript转义文本框的所有内容.你可以使用相同的HTML转义来逃避它,然后在服务器端代码中使用unescape.
更新: 转义的示例.这将在回发之前在屏幕上闪烁更改的文本 - 理想的解决方案是为此使用隐藏字段,即将值分配给隐藏字段,而不是相同的字段.这是最简单的版本:
<script>
function EscapeField(){
document.getElementById("your client control ID").value =
escape(document.getElementById("your client control ID").value);
}
</script>
在代码隐藏中:
this.ClientScript.RegisterOnSubmitStatement(this.GetType(),
"EscapeField", "EscapeField();")
更新: 同样,警告 - 如果您像这样在数据库中保存HTML,然后只是将其显示给客户端,您就会直接受到XSS攻击.有些蠕虫可以找到并利用您的网站.确保清理所获得的HTML.
如果您在asp.net页面中,则可以将整个输出文本包装在一个
Server.HtmlEncode("YourTextWith<and>Characters")
功能,它将为您编码任何狡猾的字符.
如果由于某种原因,您在.cs文件中执行此操作,则可以使用 System.Web.HttpUtility.HtmlEncode("YourTextWith<and>Characters")
在将其传递给表示层之前.
| 归档时间: |
|
| 查看次数: |
72636 次 |
| 最近记录: |