我想在我的 Web 应用程序中使用 AntiXss 库函数。我有一个 Web 应用程序,其中包含带有 Jquery 代码的 asp.net 页面。整个 asp.net 页面通过 Jquery js 页面运行。我想将编码功能应用于某些字段,但问题是如何应用以及在何处应用编码功能 - (在 jquery 页面中,在哪里设置值以显示在服务器端代码的输出窗口 0r 上,其中获取数据 API 调用在 cs 文件中。)以及在这种情况下使用哪个函数(HtmlEncode、JavascriptEncode 等)
提前致谢
防止 XSS 攻击背后的基本思想是,所有输入数据(来自用户或外部应用程序)都应被视为不受信任/不安全,因此必须在接受时进行验证和/或在输出中复制时进行编码(html、js 等) )。
AFAIK,AntiXss是一个服务器端库,所以你不能用它来编码浏览器中的值。在将这些值发送到客户端之前,您必须在服务器端应用编码(到 html/html 属性/JS 等)(例如,在 aspx 页面或 asmx/SCF 服务中,这些服务将数据发送到 java-script 将要处理的客户端)数据作为 html 或脚本)。
请参阅这篇文章- 尽管它已经过时,但它仍然是开始使用 AntiXss lib 的一个很好的资源,并且它还在“确定要使用的编码方法”下列出了使用各种编码方法的场景