3

我的问题与将数据库中的属性编码数据转换为 INPUT 标记的值属性有关。我需要知道在这种情况下的最佳做法是什么。我想安全地将其渲染到 INPUT 标记的值标记中。

我在数据库中的数据(注意与号):我和你

我正在使用一个类来属性编码值,如下所示(这是 OWASP XSS 预防类的派生):

<INPUT ID="test" VALUE="<% =Encode.HtmlAttribute(theDBValue) %>" />

这表现为...

Me &amp; You 

...在屏幕上查看时在文本框中,这不是客户想要看到的。他们会想看“我和你”。

如何安全输出数据?

4

1 回答 1

2

问题是页面上方的功能部分应用了一些编码,特别是&符号正在被编码。因此,如上所示,我的函数是对值进行双重编码。

于 2013-08-09T09:18:57.007 回答