【发布时间】:2012-11-14 22:56:00
【问题描述】:
我们有一个非常大的网络应用程序。
总共大约 120.000 行。
在这个应用程序中,用户有很多输入文本的可能性。
在用户信息、文件夹、组等。
一些用户想要命名不同的对象,例如Age < 20。
出现问题是因为 ASP.NET 会因为“
我们找到了关闭这些安全机制的方法,但现在我们的应用程序不安全。
所以问题是:
是否有任何设置或属性或任何可以设置为全局(在整个应用程序的某一点)应用程序将此类输入作为纯文本处理的设置或属性?
因此,例如,当用户想要将文件夹命名为 <script>alert("ALERT");</script> 时,它应该以这种方式命名,并显示为 <script>alert("ALERT");</script>,但脚本不会执行。
对于 HTML 也是如此:如果它命名为 Folder<br>One,它应该看起来像:Folder<br>One 而不是:Folder
One
当然,我可以使用 HTML-Encode/-Decode,但我不想遍历整个项目并在输入或显示的任何地方添加编码/解码...
全球解决方案也会在未来的发展中伪装错误。
那么问题又来了:有什么方法可以像处理 text 一样处理每个文本?所有这些都尽可能全球化?
希望你能理解我的问题并知道任何可能性。
【问题讨论】:
-
我没记错,当你使用DataBinding时,这是自动的
-
@SteveB 你能指定你的答案吗?我究竟应该 DataBind 什么?
-
我的意思是,如果您在数据模板(DataList、Datagrid 等...)中有
<asp:Textbox>,并且如果您将文本框绑定到内部上下文对象,则编码/解码将是由数据绑定自动处理。 -
@SteveB 但我有很多控件,它们不在数据模板中。我也有一些,但也没有正确显示文本。
标签: c# javascript asp.net .net html