我有一个 ASP.NET Web 窗体应用程序。有一个带有 TextBoxes 的页面,用户可以在其中输入用于查询数据库的搜索词。
我知道我需要防止 JavaScript 注入(inject)攻击。我该怎么做呢?
在 MVC 中我会使用 Html.Encode
.它似乎无法在 Web 表单中被识别。
谢谢!
最佳答案
如果您使用的是 ASP.NET 4 或更高版本,则可以使用以下语法:
<%: Model.Username %>
它将对表达式进行 HTML 编码。 Scott Gu explains the benefit of this syntax:
We chose the <%: %> syntax so that it would be easy to quickly replace existing instances of <%= %> code blocks. It also enables you to easily search your code-base for <%= %> elements to find and verify any cases where you are not using HTML encoding within your application to ensure that you have the correct behavior.
关于asp.net - 如何在 Web 表单中进行 Html.Encode,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4018929/