我的问题与将数据库中的属性编码数据转换为 INPUT 标记的值属性有关。我需要知道在这种情况下的最佳做法是什么。我想安全地将其渲染到 INPUT 标记的值标记中。
我在数据库中的数据(注意与号):我和你
我正在使用一个类来属性编码值,如下所示(这是 OWASP XSS 预防类的派生):
<INPUT ID="test" VALUE="<% =Encode.HtmlAttribute(theDBValue) %>" />
这表现为...
Me & You
...在屏幕上查看时在文本框中,这不是客户想要看到的。他们会想看“我和你”。
如何安全输出数据?