DropDownList上的默认.NET清理(WebControls)
我正在使用遗留代码 - 带有一些.NET的WebControls,遇到了XSS问题。 在我的代码背后,我已经在这样的foreach中添加了简单的DropDownList和ListItems:
foreach (string enumValue in aEnumValues)
pListBox.Items.Add(new ListItem(enumValue, enumValue));
但是,当生成dropDown时,选项的值属性不会被完全清理。响应正文中的选项如下所示:
<option selected="selected" value=""><img src=2 onerror=alert(y65)>">"><img src=2 onerror=alert(y65)></option>
<option value="df">df</option>
<option value=""dsdf><img src=2 onerror=alert(y65)> "><img src=2 onerror=alert(y65)> ">"dsdf><img src=2 onerror=alert(y65)> "><img src=2 onerror=alert(y65)> </option>
如您所见,对于值属性,并非所有字符都被转义。我怎样才能解决这个问题?或者这是WebControls的一些问题吗?
1 个答案:
答案 0 :(得分:1)
ListControls中的值通常是整数,如果您可以重构它,那么对于将来的任何更改都会更加可维护。如果你想快速修复,你可能需要编码html部分:
foreach (string enumValue in aEnumValues)
pListBox.Items.Add(new ListItem(enumValue, Server.HtmlEncode(enumValue)));
更新(根据您的评论):
如果您查看显示html标签的select标签,您是否曾见过显示html标签的select标签?我敢打赌,select标签是隐藏的,它适用于页面中的某些逻辑。通常,option标签中的value属性是一个单词,如整数或代码:
<select id="card">
<option value="visa">Visa</option>
<option value="mc">Master card</option> -- value is abbreviation of display text
<option value="amex">American Express</option>
</select>
<select id="lstStates">
<option value="CA">California</option> -- value is state's code
<option value="FL">Florida</option>
</select>
<select id="lstStaffs">
<option value="1001">Daniel Smith</option> --value is StaffId
<option value="1008">John Doe</option>
</select>
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?