0

我的 aspx 页面中有 XSS 跨站点脚本问题。当我浏览解决方案时,我发现 70% 的 XSS 问题将通过 HTML 编码用户输入并保存在数据库中来处理。

我的场景:大多数页面不允许 html 输入,即 ValidateRequest="True"。在这种情况下,HTML 编码将如何帮助我们?如果我说我们应该只在允许来自用户的 html 输入的情况下进行 html 编码,我是否正确?

假设,用户输入的 html 编码适用于 XSS,对所有用户输入(整个应用程序)进行 html 编码并保存在数据库中是个好主意吗?

谢谢你。

4

1 回答 1

0

我不建议在数据库中保存编码的 html。现在我使用的方法不对用户的输入进行编码。取而代之的是,我们将在从数据库读取时对用户的输入进行编码。你可以了解json的api,哪里可以告诉你如何编码特殊代码。

于 2013-10-16T03:51:52.697 回答