Microsoft Web Protection Library不对ASP.NET 4.0 Web doesn网格视图上的XSS进行编码

Question

我有一个ASP.NET 4.0 webforms应用程序，它使用了一些网格视图。我正在尝试让MS Web Protection Library正确地对网格视图中的数据进行编码，以便防止出现跨站点脚本问题。

我已经通过NuGet添加了v4.2.1的WPL库，并在我的Web.config文件中添加了以下内容：

<httpRuntime encoderType="Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary" executionTimeout="240" maxRequestLength="20480" requestValidationMode="2.0" />

不幸的是，这似乎不起作用。从数据库输出到网格视图时，字符串<b>hi there</b>的编码不正确。

我以前使用过一个名为AntiXssModule.dll的动态链接库来做这件事，但是现在我找不到任何对它的引用，似乎所有的东西都指向了WPL。

我是不是漏掉了什么明显的东西？

Answer 1

这个回复可能晚了一年，但这是我在遇到类似问题时发现的: requestValidationMode = 2.0和encoderType = AntiXssLibrary的组合不起作用，我不得不将requestValidationMode的值更改为4.0。然而，这可能会导致其他问题。

/simon/