我们需要在我们的网站上使用HttpUtility.HtmlEncode。我们需要将它用于资源吗?有没有潜在的威胁?
<%=HttpUtility.HtmlEncode(Resources.MyResourceString)%>
答案 0 :(得分:2)
如果您的资源是HTML,则不要重新编码。如果它们是文本,那么HtmlEncode它们。
如果您的资源只是普通的旧文本(即可能包含原始的&符号或尖括号),那么即使您没有打开XSS漏洞,您仍然需要对它们进行HtmlEncode以便你将生成有效的HTML。
答案 1 :(得分:1)
如果你的资源来自一个已知安全的来源(我怀疑他们这样做了),那么你就不需要这样做了,不。
答案 2 :(得分:0)
不要阻止跨站点脚本 - 也就是说,除非您的用户可以访问您的应用程序的资源并且可以插入恶意内容!