Первый пользователь AntiXSS 4 здесь.Чтобы сделать мое приложение более безопасным, я использовал Microsoft.Security.Application.Encoder.UrlEncode для параметров QueryString и Microsoft.Security.Application.Encoder.HtmlEncode для параметравведено в поле формы.
У меня есть множественное число, и я был бы признателен, если бы вы попытались ответить на все из них (не обязательно за один раз или от одного и того же человека - любой возлюбленный вообщеочень полезно).
My first Вопрос в том, правильно ли я использую эти методы (то есть я использую соответствующий метод AntiXSS для соответствующей ситуации)?
My второй вопрос, когда я что-то закодировал, должно ли оно когда-нибудь быть декодировано.Я запутался, потому что я знаю, что класс HttpUtility предоставляет способы как кодирования, так и декодирования, так почему же в AntiXSS не делается то же самое?Если это поможет, то параметры, которые я закодировал, никогда не будут обрабатываться как что-либо, кроме текста внутри приложения.
Мой третий вопрос относится к третьему, но я хотелподчеркнуть это, потому что это важно (и, вероятно, является источником моего общего замешательства).Я слышал, что .NET Framework автоматически декодирует такие вещи, как QueryStrings, поэтому нет необходимости в явном методе декодирования.Если это так, то какой смысл HTML кодировать что-то в первую очередь, если оно будет отменено.Это просто ... не кажется безопасным?Чего мне не хватает, тем более что, как уже упоминалось, класс HttpUtility обеспечивает декодирование.
И вопрос last , помогает ли AntiXSS против SQL-инъекций или делаетэто только защита от XSS-атак?