我在VB.NET Web项目中使用CheckBoxList。这些元素是从DataSource中提取的,该数据源填充在系统的其他位置。
问题是,如果有人放入一些原始HTML,CheckBoxList似乎会呈现它而不是假定纯文本。
例如,在this屏幕截图中,我输入了<a href="http://www.google.com" onmouseover="alert('123');">hover here</a>
,所以现在只要将鼠标悬停在该CheckBox上,就会弹出一个警告窗口。这似乎是XSS的潜力,我想完全禁用它。
我已经尝试使用Google搜索和搜索某些内容来禁用HTML渲染,例如这样,但是没有发现任何相关内容,所以我很抱歉,如果已经在其他地方已经回答过了。
谢谢!
答案 0 :(得分:1)
在绑定数据源之后,您应该能够遍历CheckboxList中的每个Items并使用System.Web.HttpServerUtility.HtmlEncode来更新每个项目的Text属性。