如果我的 aspx 页面不允许来自用户的 html 输入,html 编码如何提供帮助
How html encoding helps if my aspx page is not allowing html input from User
我的aspx页面中有XSS跨站点脚本问题。当我浏览解决方案时,我发现 70% 的 XSS 问题将由 HTML 编码用户输入并保存在数据库中来处理。
我的场景:大多数页面不允许html输入,即ValidateRequest="True"。在这种情况下,HTML编码将如何帮助我们?如果我说我们应该只在允许用户输入 html 的情况下进行 html 编码,我是否正确?
假设,用户输入的 html 编码适用于 XSS,对所有用户输入(整个应用程序)进行 html 编码并保存在数据库中是一个好主意吗?
谢谢。
我不建议将编码的html保存在数据库中。现在我使用的方法不对用户的输入进行编码。取而代之的是,我们将在从数据库中读取时对用户的输入进行编码。你可以了解 json 的 api,其中可以告诉你如何编码特殊代码。
相关文章:
- 如何编写HTML输入的JS内联
- 如何在HTML输入字段中添加不可删除的后缀
- HTML输入中不可更改的前导字符
- 如何使用jQueryAjax使用动态html输入texbox提交表单
- 清理HTML输入值
- 如何使用jQuery动态创建HTML输入
- 通过javascript以编程方式将文件插入HTML输入
- jQuery选择器不识别任何动态创建的HTML输入函数
- 将JavaScript变量传递到HTML输入框和(在PHP文件中使用)
- 如何调用两个函数是一种html输入类型
- HTML输入框未触发事件
- 移动HTML输入文本框在提交时隐藏软键盘
- 按键事件上的简单HTML输入不起作用
- 选择同一文件时未触发HTML输入文件选择事件
- 如何使文本、数字和日期html输入字段以一致的方式支持Ctrl+Z(撤消)
- 更改 html 输入字段中的占位符属性
- 如何在不使用任何 html 输入/搜索元素的情况下读取本地客户端文本文件
- 持久性 HTML 输入占位符
- 将 html 输入转换为正确的编码
- 如何隐藏和显示 html 输入文本和段落