我一直在研究防止XSS攻击,因此在将它们渲染回客户端时编码值。这样可以正常工作,但是当将值放入.NET runat服务器输入并在客户端上呈现如下时,即使javascript已经编码,警报也会触发。
<input name="ctl00$body$buildTitle" type="text" value="&lt;script&gt;alert(&#39;Hola&#39;)&lt;/script&gt;" />
任何人都可以解释原因吗?
答案 0 :(得分:0)
因为您在客户端浏览器上呈现了一个Script块。 无论您在何处放置脚本块,浏览器都会运行脚本。