我在多个地方读到,防止 XSS 的正确方法不是清理输入,而是在显示输出之前对输出进行 html 编码。
然而,我认为我遇到了规则的例外。我有一些数据将存储在数据库中,这些数据由我无法控制的其他遗留应用程序使用,并且这些应用程序可能会也可能不会对输出进行编码。
c# asp.net-web-api
asp.net-web-api ×1
c# ×1