Question

Нам нужно использовать HttpUtility.HtmlEncode на нашем сайте.Нужно ли использовать его для ресурсов?Есть ли потенциальная угроза?

<%=HttpUtility.HtmlEncode(Resources.MyResourceString)%>

Yuliy · Answer 1 · 05 октября 2011

Если ваши ресурсы в формате HTML, не перекодируйте их. Если они текстовые, то HtmlEncode их.

Если ваши ресурсы представляют собой просто старый текст (т. Е. Могут содержать необработанные амперсанды или угловые скобки), то даже если вы не открываете дыру в XSS, вам все же необходимо их HtmlEncode, чтобы сгенерирую действительный HTML.

Andrew Barber · Answer 2 · 05 октября 2011

Если ваши ресурсы поступают из известного безопасного источника (что я подозреваю, что они делают), то вам не нужно этого делать, нет.

Jeremy McGee · Answer 3 · 05 октября 2011

Не предотвращать межсайтовый скриптинг - то есть, если ваши пользователи не имеют доступа к ресурсам вашего приложения и не могут вставить что-то вредоносное!

Нужно ли нам использовать HttpUtility.HtmlEncode для ресурсов для предотвращения XSS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нужно ли нам использовать HttpUtility.HtmlEncode для ресурсов для предотвращения XSS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы