我目前只有一个asp.net页面,它显示一个网格,其中包含一个包含丰富文本的列。这是一个逻辑3层应用程序。 bll将一个集合返回给ui以绑定到网格。
目前,当您编辑列时,它会为您提供一个富文本编辑器,并将所有数据保存到数据库中。
现在设计的方式是使用Microsoft的Anti-XSS库的最佳方式,还是可能的?我需要重新设计吗?
谢谢, 杆
答案 0 :(得分:0)
我认为您不一定需要重新设计,您可能希望将AntiXSS片段添加到您的BLL中。
要避免XSS攻击,您需要接受来自富文本编辑器的用户输入并将其保存到数据库中。然后,当用户输入从数据库返回到屏幕时,您需要对其进行编码,以使<script>标记不会呈现为<script>,它们将呈现为<script>将阻止他们在浏览器中执行。
由于您说您的BLL将一个集合返回给UI,我应该说您需要调用AntiXSS编码方法的点是从数据库中的行创建集合的点。如果您发布代码的相关部分,我们应该能够确切地看到需要更改的位置。