我们需要使用HttpUtility吗?资源的html代码,防止XSS

本文关键字:html 代码 XSS 防止 资源 HttpUtility 我们 | 更新日期: 2023-09-27 18:10:33

我们需要使用HttpUtility。我们网站上的html代码。我们需要将它用于资源吗?有没有潜在的威胁?

<%=HttpUtility.HtmlEncode(Resources.MyResourceString)%>

我们需要使用HttpUtility吗?资源的html代码,防止XSS

如果您的资源是HTML,那么不要重新编码它们。如果它们是文本,则使用htmlcode。

如果你的资源只是普通的旧文本(即可能包含原始的&号或尖括号),那么即使你没有打开XSS漏洞,你仍然需要对它们进行HTML编码,以便生成有效的HTML。

如果您的资源来自已知安全的来源(我怀疑它们确实如此),那么您不需要这样做,不

不阻止跨站点脚本—也就是说,除非您的用户可以访问您的应用程序的资源并可以插入恶意内容!

相关文章: