一旦某个内容被 HTML 或 URL 编码，它就应该被解码吗？编码足够了吗？

Question

第一次使用 AntiXSS 4 用户。为了使我的应用程序更安全，我在 QueryString 参数上使用了 Microsoft.Security.Application.Encoder.UrlEncode 在表单字段中输入的参数上的 Microsoft.Security.Application.Encoder.HtmlEncode。

我有多个问题，如果您能尝试回答所有问题（不必同时回答或由同一个人回答 - 任何回答都会非常有帮助），我将不胜感激。

我的第一问题是我是否正确使用这些方法（即我是否在适当的情况下使用适当的 AntiXSS 方法）？

我的第二问题是一旦我编码了一些东西，它是否应该被解码。我很困惑，因为我知道 HttpUtility 类提供了编码和解码的方法，那么为什么 AntiXSS 中不做同样的事情呢？如果这有帮助，我编码的参数永远不会被视为应用程序内文本以外的任何内容。

我的第三问题与第三个问题相关，但我想强调它，因为它很重要（并且可能是我整体困惑的根源）。我听说 .NET 框架会自动解码诸如 QueryStrings 之类的东西，因此不需要显式的解码方法。如果是这样的话，那么如果 HTML 编码会被撤销，那它还有什么意义呢？只是……看起来不太安全？我缺少什么，特别是因为，正如前面提到的，HttpUtility 类提供了解码功能。

最后问题是，AntiXSS 是否有助于抵御 SQL 注入，还是只能抵御 XSS 攻击？

Answer 1

1. 很难说你是否正确使用它。如果您在构建查询字符串时使用 UrlEncode，然后将其作为页面中的链接输出，那么是的，这是正确的。如果您在将某些内容写为值时进行 Html 编码，那么是的，这是正确的（好吧，如果它是通过 HTML 属性设置的，您应该使用 HtmlAttributeEncode，但它们几乎相同。）

2. .NET 解码器使用 AntiXSS 的编码值，因此我重写它们是没有意义的 grin

3. 编码的要点在于你在输出时进行编码。因此，例如，如果用户在表单上输入 window.alert('Numpty!) 并且您只需将该输入原始数据放入输出中，JavaScript 就会运行。如果你先对其进行编码，你会看到 <成为<等等。

4. 不，SQL 注入是一个完全不同的问题。