我在将html标记与服务器端脚本合并时尝试使用Microsoft AntiXss.HtmlEncode。
<h1><asp:Literal ID="litHeader" runat="server" /></h1>
litHeader.Text = AntiXss.HtmlEncode(dt.Rows[0]["Header"].ToString());
我的项目中一直收到以下警告:
&#39; Microsoft.Security.Application.AntiXss.HtmlEncode(字符串)&#39;是 已过时:&#39;此方法已被弃用。请用 而不是Encoder.HtmlEncode()。&#39;
这只是一个警告,您认为将来会出现任何安全问题吗?
答案 0 :(得分:1)
微软有两个&#34; AntiXss&#34;软件包,CodePlex上的原始AntiXss库以及ASP.Net 4.5+(https://msdn.microsoft.com/en-us/library/system.web.security.antixss(v=vs.110).aspx)内置的新版本。他们可能会试图让你知道他们没有保留原件。
为了简化转换(不是!),他们更改了命名空间(到System.Web.Security.AntiXss)和方法签名。他们还删除了一些功能(例如,删除HtmlAttributeEncode(字符串),只留下HtmlAttributeEncode(string,TextWriter))