我已经下载并查看了Microsoft AntiXSS库,但我并不是100%确定我需要将它用于服务器控件(asp:textbox等)。当我使用标准的html控件(输入等)时,一切都很好。当我在服务器控件上使用antixss lib时,看起来输出被编码了两次。
我目前只使用antixss lib进行标准的html控件。我是否通过使用服务器控件来保护跨站点脚本,这是最佳做法吗?
答案 0 :(得分:3)
不幸的是,服务器控件的HTML编码故事并不一致,因此可以说使用服务器控件会自动解决问题。有关哪些服务器控件需要您手动编码其输出的表,请参阅What's wrong with ASP.NET? HTML encoding。