如果启用ASP .Net请求验证,是否需要HtmlEncode文本框值？

如果为站点启用了ASP.NET请求验证,您是否仍需要在简单表单(例如ASP文本框)中使用HtmlEncode和HtmlDecode字符串信息？

如果为站点启用了ASP.NET请求验证,您是否仍需要HtmlEncode

ASP.NET请求验证是一个试图解决愚蠢作者的破坏程序的黑客攻击.不要写破坏的程序.

您写入HTML页面的任何文本字符串都必须是HTML编码的; 这是正确性的问题,而不仅仅是安全性(这是正确性的一个子集).即使请求验证可以神奇地消除任何可能的XSS攻击(这是如此不一样的情况下),遇事的HTMLEncode文本输出仍然会使您打开生产畸形的输出,破坏您的数据.说我正在讨论一些变量的论坛帖子a,b并且c想说:

ac b>a

如果这与未编码的HTML源代码相呼应,我会得到:

a c b> a

也许页面的其余部分也会很大胆.哎呦!

请求验证是虚假的,不应该依赖.默认情况下启用并"推荐用于所有生产环境"是令人遗憾的,这让我非常怀疑ASP.NET团队的理智.

如果你已经正确地编写了程序,那么你就不需要它了,它只会妨碍你.(例如,如果SO使用它,我将无法提及提及

yzh148448

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

• actionscrip
• bash
• c#
• c++
• c语言
• erlang
• flutter
• go
• golang
• java
• javascript
• lua
• node.js
• perl
• php
• python
• scala
• typescript

RankList | 热门文章

• 1如何配置ESLint以允许胖箭头类方法
• 2将零添加到列表中
• 3ruby 2.3安全运算符"&."之间的差异.和CoffeeScript存在运算符".？"
• 4如何优化1000个MySQL查询？
• 5如何通过Intellij的查找功能替换整行代码？
• 6需要在数组中找到唯一的数字
• 7元素'system.webServer'具有无效的子元素'httpPlatform'
• 8SVG沿路径重复对象或符号
• 9自定义NSDateFormatter.timeZone - Swift
• 10haskell中的圆形地图
• 11什么是原生Android与java？
• 12在大型数据集中提交每个案例时计算公开案例的有效方法
• 13在ReSharper 9.2中手动安装扩展
• 14c ++函数返回错误的数组
• 15是否可以在EF7中使用流畅的API添加CHECK约束？
• 16http API客户端的Wreq或Servant？
• 17将UILable更改为UITextView,而不从对象库中删除和添加
• 18ECMAScript-6导入嵌套函数？
• 19自定义UIView,在Storyboard上具有动态高度
• 20HTML5 localStorage有用的函数// JavaScript,TypeScript