Полезна ли библиотека Microsoft AntiXSS и нужна ли она, если я использую серверные элементы управления?

Question

Я скачал и посмотрел библиотеку Microsoft AntiXSS, но я не уверен на 100%, что мне нужно использовать ее для управления сервером (asp: текстовое поле и т. Д.). Все хорошо, когда я использую его со стандартным элементом управления HTML (ввода и т. Д.). Похоже, выходные данные кодируются дважды, когда я использую библиотеку antixss на элементах управления сервера.

В настоящее время я использую библиотеку antixss только для стандартных элементов управления html. Защищен ли я от межсайтовых сценариев с помощью серверных элементов управления, и это лучший метод?

Answer 1

К сожалению, история кодирования HTML для серверных элементов управления не согласована, так что вы можете сказать, что использование серверных элементов управления автоматически решит проблему. Смотрите Что не так с ASP.NET? Кодировка HTML для таблицы, для которой серверные элементы управления требуют ручного кодирования их вывода.