使用 AntiXssEncoder 的 ASP .Net 标记
<asp:Textbox TextMode="Multiline" runat=server>
First Line
Second Line
</asp:TextBox>
呈现为:
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<textarea rows="5" >First Line Second Line</textarea>
</body>
</html>
作为扩展为回车的数字字符引用,这不是有效的 HTML5。使用数字字符引用而不是实际字符编写代码的原因是因为页面是用 ASP .NET 编写的,AntiXss 是基于此页面的默认 HttpEncoder:http: //haacked.com/archive/2010 /04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx。
删除 AntiXss 编码器可以解决问题,但是有没有办法保留 AntiXss 编码器并防止它发送“回车”和“换行”的数字字符引用?