我必须对字段进行编码,以确保脚本注入的安全。
我知道我可以使用HttpUtility.HtmlEncode和Decode,但是用于HI-ASCII字符的此方法超出了数据库中字段大小的范围,并且我不想更改数据字段列的大小。
相反,如果我使用HttpUtility.HtmlAttributeEncode,它可以正常工作,因为它不编码HI-ASCII字符。
安全吗?它的缺点是什么?
参考方案
从HttpUtility..::.HtmlAttributeEncode Method (String):
HtmlAttributeEncode方法仅将引号(“),&符(&)和左尖括号(<)转换为等效字符实体,比HtmlEncode方法要快得多。
HtmlAttributeEncode方法的字符串结果应仅用于双引号属性。当将HtmlAttributeEncode方法与单引号属性一起使用时,可能会出现安全问题。
但是,将编码后的输入存储在数据库中并不是通常的做法。很难预测编码版本将持续多长时间。
更好的方法是直接存储输入,并且仅在需要时(在以HTML输出时)对其进行编码。
我的页面中有UL,它为空。我开始使用JavaScript使用LI填充它。在回发阶段如何在asp.net中使用此新添加的动态数据?那是因为我的提交按钮是asp.net控件。我不想使用JS POST。谢谢 参考方案 我过去通过在隐藏字段中填充要发布的动态数据来完成此类操作,您可以-在回传之前触发JavaScript事件,该事件将数据从UL解析到隐藏字段中要么更新…
如何从.Net DLL获取公共出口列表? - c#我可以使用“ dumpbin”和“ dll export”之类的工具来查看标准win32 DLL的公共入口点(“ exports”),例如Windows \ SYSTEM32 \ GDI32.dll。但是,当我在.Net DLL上使用这些相同的工具时,我看到的仅仅是 2000 .reloc 2000 .rsrc 48000 .text 我有一个C#/。Net…
将asp.net c#变量分配给javascript数组 - c#我有2个工作部分的代码,需要将它们放在一起第1节-用户可以访问页面,查看和编辑数据库的内容,其中包括新闻文章,标题,相关链接等,我设法使其正常工作并将数据保存到数据库中第2条-该网站首页上的javascript新闻滚动器会写出一系列div,然后使用javascript和CSS对其进行旋转,使其看起来像在滚动,同样可以。新闻文章是从首页上硬编码的数组中提取的问…
如何在ASP.NET Core Web应用程序中增加JSON反序列化MaxDepth限制 - c#我们正在将ASP.NET Core 2.1与.NET Framework 4.6.2结合使用。我们有一个客户需要向我们的Web应用程序发送一个很大程度上嵌套的json结构。当他们进行此调用时,我们将输出以下日志并返回错误: 读取器的MaxDepth超过了32。路径“ super.long.path.to property”,第1行,位置42111。”我浏览了…
ASP.NET MVC 5自定义登录,无需脚手架,数据库优先 - c#我对asp.net和mvc还是很陌生,所以我正在努力学习尽可能多的知识...为此,我从头开始编写博客网站,但是我对身份验证和授权有些困惑。由于我倾向于不真正使用任何脚手架的东西,所以我首先要使用数据库,所以不希望asp.net身份为我创建表。我对散列和加盐密码很酷,并对照数据库检查用户,我遇到的麻烦是将用户设置为登录状态并检查他们应该能够访问什么。我真的很想…