我正在使用4.0框架的.net Web应用程序。我正在处理Open Redirect问题,我发现需要对Querystring参数值进行编码。
我的示例代码
//Open redirect fortify issue
string id= Request.QueryString["id"];
if (!string.IsNullOrEmpty(id))
-- here the issue
Response.Redirect(webform.aspx?id=" + HttpUtility.HtmlEncode(id));
你能帮忙吗?
答案 0 :(得分:-1)
string id= Request.QueryString["id"];
int safeId;
if (!string.IsNullOrEmpty(id) && int.TryParse(id, out safeId))
Response.Redirect("webform.aspx?id=" + safeId.ToString());
编辑:不知道为什么有人会对这个答案进行投票,但也许我应该指出OP的评论"他们建议int值不是字符串"。