0

在一个工作项目中,我最近被分配使用 AntiXSS 库 (v. 4.2.1) 对用户输入进行编码,即使它已经被废弃并且甚至没有最新版本的文档。我环顾四周,发现我可以使用这样的输入:

<input type="text" value='<%= Microsoft.Security.Application.AntiXss.HtmlEncode() %>' />

不幸的是,我正在处理的项目使用 Knockout 库,所以如果我有:

<input type="text" data-bind="value: Something" />

这样的事情可能吗?

 <input type="text" data-bind="value: <%= Microsoft.Security.Application.AntiXss.HtmlEncode(Something) %>" />

编辑:忘记添加输入是在 .ascx 页面中处理的,而不是 .aspx

4

1 回答 1

1

Knockout 在客户端 (Javascript) 和 AntiXSS 库在服务器端运行。你不能把这两个东西混在一起。在将属性发送到服务器后,您必须在 ascx 页面的代码隐藏中对属性进行编码。

于 2012-07-04T08:19:54.427 回答