1

すでに実行中のasp.netアプリケーションでのスクリプトインジェクションを避けたいので、Pagebase Initイベントの実行時にすべてのテキストボックスにFilteredTextBoxExtenderを追加しました。これは完全に機能し、無効な「<>&」チャーターを定義しました。

スクリプトインジェクションの問題を引き起こすすべての特別なチャーターを知りたいです。

4

1 に答える 1

0

Server.HTMLEncodeとを使用してみてくださいServer.HTMLDecode

  1. 小なり文字(<)はに変換され&lt;ます。
  2. 大なり記号(>)はに変換され&gt;ます。
  3. アンパサンド文字(&)はに変換され&amp;ます。
  4. 二重引用符( ")はに変換され&quot;ます。
  5. コードが0x80以上のASCIIコード文字は、&#に変換されます。ここで、はASCII文字の値です。

詳細
http://msdn.microsoft.com/en-in/library/ms525347%28v=vs.90%29.aspx

編集1

一部のSOリンク
ASP.NETServer.HtmlEncodeの制限
事項Server.HtmlEncodeが必要なのはなぜですか?

編集2

このリンクを参照できます
ValidateRequestがtrueに設定されている場合、どの文字または文字の組み合わせが無効になりますか?

于 2013-03-13T11:36:36.510 に答える