Microsoft AntiXSS - 是否需要解码？

发布于 2024-09-24 09:58:08 字数 425 浏览 2 评论 0原文

HttpUtility 类提供编码和解码。但是，当我使用 MS AntiXSS 3.1 库时，我有一组仅用于编码的方法，这是否意味着可以避免解码？

例如

，应用 AntiXSS 之前：

lblName.Text = "ABC" + "<script> alert('Inject'); </script";

应用 AntiXSS 之后：

lblName.Text = AntiXSS.HTMLEncode("ABC" + "<script> alert('Inject'); </script");

因此，在应用编码之后，HTML 标记将显示在我的 Label 控件中。

这是想要的结果吗？

原文

The HttpUtility class provides for both encoding and decoding. But, when I use the MS AntiXSS 3.1 Library I have a set of methods only for encoding, does this mean decoding can be avoided?

For example

Before applying AntiXSS:

lblName.Text = "ABC" + "<script> alert('Inject'); </script";

After applying AntiXSS:

lblName.Text = AntiXSS.HTMLEncode("ABC" + "<script> alert('Inject'); </script");

So, after applying the encoding, the HTML tags show up in my Label control.

Is this the desired outcome?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

晨与橙与城 2024-10-01 09:58:09

是的，我认为这是期望的输出。这是因为脚本没有被执行。如果脚本已被执行，则会显示警报而不是脚本标签。所以这是安全的代码。

回复收藏 0 原文

还在原地等你 2024-10-01 09:58:09

这取决于您的输入来自哪里以及您想用它做什么。很多时候，框架会在你看到东西之前为你解码 - Request.Form、Request.QueryString 等。

如果你正在从其他地方（例如数据库）读取编码字符串，那么你可能需要解码它，否则你例如，会看到双重编码；

I 3> AntiXSS encoded once becomes

I 3> AntiXSS which then becomes after double encoding

I 3&gt; AntiXSS

这可能会产生意想不到的副作用，具体取决于消耗输出的内容。解码直到字符串不再改变的行为就是规范化的一个例子。

It depends where your input is coming from, and what you want to do with it. A lot of the time the framework decodes for you before you see things - Request.Form, Request.QueryString etc.

If you're reading an encoded string from somewhere else, for example a database then you may want to decode it, otherwise you'll see double encoding, for example;

I 3> AntiXSS encoded once becomes

I 3> AntiXSS which then becomes after double encoding

I 3&gt; AntiXSS

which can have unintended side effects depending on what consumes the output. The act of decoding until the string no-longer changes is an example of canonicalisation.

回复收藏 0 原文