私の問題は、データベースからのデータを INPUT タグの値属性にエンコードする属性を処理することです。この状況でのベスト プラクティスを知る必要があります。これを INPUT タグの値タグに安全にレンダリングしたいと考えています。
DB 内の私のデータ (アンパサンドに注意してください): Me & You
私は次のように値をエンコードする属性にクラスを使用しています (これは OWASP XSS 防止クラスの派生です):
<INPUT ID="test" VALUE="<% =Encode.HtmlAttribute(theDBValue) %>" />
これは次のように表示されます...
Me & You
...画面に表示されたときにテキストボックスに表示されますが、これは顧客が見たいものではありません。彼らは「Me & You」を見たがるでしょう。
データを安全に出力するにはどうすればよいですか?