blocks|key|3427292|text|您可以使用HttpUtility.HtmlEncode|type|unstyled|depth|inlineStyleRanges|entityRanges|offset|length|data|3427293|entityMap|0|LINK|mutability|MUTABLE|url|http://msdn.microsoft.com/en-us/library/system.web.httputility.htmlencode.aspx^0|5|M|0|0^^$0|@$1|2|3|4|5|6|7|L|8|@]|9|@$A|M|B|N|1|O]]|C|$]]|$1|D|3|-4|5|6|7|P|8|@]|9|@]|C|$]]]|E|$F|$5|G|H|I|C|$J|K]]]]

You can use <a href="http://msdn.microsoft.com/en-us/library/system.web.httputility.htmlencode.aspx" rel="noreferrer">HttpUtility.HtmlEncode</a>

blocks|key|3427382|text|如果您使用的是ASP.NET+4或更高版本，则可以使用以下语法：|type|unstyled|depth|inlineStyleRanges|entityRanges|data|3427383|<%25:+Model.Username+%25>|code-block|syntax|javascript|3427384|它将对表达式进行HTML编码。Scott+Gu+explains+the+benefit+of+this+syntax:|offset|length|3427385|3427386|我们选择了<%25：%25>语法，以便快速替换<%25=+%25>代码块的现有实例。它还使您能够轻松地在代码库中搜索HTML元素，以查找并验证应用程序中未使用<%25=编码的任何情况，从而确保您具有正确的行为。|blockquote|3427387|3427388|entityMap|0|LINK|mutability|MUTABLE|url|https://weblogs.asp.net/scottgu/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and-asp-net-mvc-2^0|0|0|F|19|0|0|0|0|0^^$0|@$1|2|3|4|5|6|7|X|8|@]|9|@]|A|$]]|$1|B|3|C|5|D|7|Y|8|@]|9|@]|A|$E|F]]|$1|G|3|H|5|6|7|Z|8|@]|9|@$I|10|J|11|1|12]]|A|$]]|$1|K|3|-4|5|6|7|13|8|@]|9|@]|A|$]]|$1|L|3|M|5|N|7|14|8|@]|9|@]|A|$]]|$1|O|3|-4|5|6|7|15|8|@]|9|@]|A|$]]|$1|P|3|-4|5|6|7|16|8|@]|9|@]|A|$]]]|Q|$R|$5|S|T|U|A|$V|W]]]]

If you are on ASP.NET 4 or newer, you can use this syntax:

<pre><code>&lt;%: Model.Username %&gt;
</code></pre>

Which will HTML-encode the expression. <a href="https://weblogs.asp.net/scottgu/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and-asp-net-mvc-2" rel="noreferrer">Scott Gu explains the benefit of this syntax:</a>

<blockquote>
 We chose the &lt;%: %> syntax so that it would be easy to quickly replace existing instances of &lt;%= %> code blocks. It also enables you to easily search your code-base for &lt;%= %> elements to find and verify any cases where you are not using HTML encoding within your application to ensure that you have the correct behavior.
</blockquote>

blocks|key|1233080|text|在webforms上，您可以调用|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1233081|HttpUtility.HtmlEncode(foo);|code-block|syntax|javascript|1233082|注意不要重复编码。|1233083|entityMap^0|0|0|0^^$0|@$1|2|3|4|5|6|7|K|8|@]|9|@]|A|$]]|$1|B|3|C|5|D|7|L|8|@]|9|@]|A|$E|F]]|$1|G|3|H|5|6|7|M|8|@]|9|@]|A|$]]|$1|I|3|-4|5|6|7|N|8|@]|9|@]|A|$]]]|J|$]]

On webforms you can call 

<pre><code>HttpUtility.HtmlEncode(foo);
</code></pre>

Be careful to not double encode.

blocks|key|3427274|text|你可以使用Server.HtmlEncode+(翻译过来就是HttpServerUtility.HtmlEncode)，但微软有一个更好的名为AntiXSS的网页防护库，你可以从CodePlex下载。它包括一个实用程序，该实用程序对HtmlEncoding+(更安全、更好，以及recommended+by+OWASP，尽管它们指向older+version)使用白名单方法。它还有一些工具可以让你获得安全的HTML片段，等等。|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|3427275|但是，如果您不查看其他内容，请查看OWASP+top+10。听起来你只是触及了web应用安全的皮毛，而这是最好的资源。跨站点脚本攻击只是你需要防御的一系列事情中的一个。|3427276|如果您必须处理任何类型的合规性(PCI、红旗等)，也需要遵守它|3427277|entityMap|0|LINK|mutability|MUTABLE|url|https://docs.microsoft.com/en-us/previous-versions/iis/6.0-sdk/ms525347%2528v=vs.90%2529|1|https://web.archive.org/web/20151010204930/http://blogs.msdn.com/b/securitytools/archive/2010/09/30/antixss_2d00_4_2d00_0_2d00_release_2d00_notes.aspx|2|https://web.archive.org/web/20210928094820/https://archive.codeplex.com/?p=wpl|3|https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html|4|https://web.archive.org/web/20100226175054/http://www.codeplex.com:80/AntiXSS|5|https://owasp.org/www-project-top-ten/^0|U|S|38|C|5|H|0|1Z|7|1|2H|8|2|3V|K|3|4M|D|4|0|H|C|5|0|0^^$0|@$1|2|3|4|5|6|7|11|8|@$9|12|A|13|B|C]|$9|14|A|15|B|C]]|D|@$9|16|A|17|1|18]|$9|19|A|1A|1|1B]|$9|1C|A|1D|1|1E]|$9|1F|A|1G|1|1H]|$9|1I|A|1J|1|1K]]|E|$]]|$1|F|3|G|5|6|7|1L|8|@]|D|@$9|1M|A|1N|1|1O]]|E|$]]|$1|H|3|I|5|6|7|1P|8|@]|D|@]|E|$]]|$1|J|3|-4|5|6|7|1Q|8|@]|D|@]|E|$]]]|K|$L|$5|M|N|O|E|$P|Q]]|R|$5|M|N|O|E|$P|S]]|T|$5|M|N|O|E|$P|U]]|V|$5|M|N|O|E|$P|W]]|X|$5|M|N|O|E|$P|Y]]|Z|$5|M|N|O|E|$P|10]]]]

You can use <a href="https://docs.microsoft.com/en-us/previous-versions/iis/6.0-sdk/ms525347%28v=vs.90%29" rel="nofollow noreferrer">Server.HtmlEncode</a> (which translates to <code>HttpServerUtility.HtmlEncode</code>) , but Microsoft has a better web protection library called <a href="https://web.archive.org/web/20151010204930/http://blogs.msdn.com/b/securitytools/archive/2010/09/30/antixss_2d00_4_2d00_0_2d00_release_2d00_notes.aspx" rel="nofollow noreferrer">AntiXSS</a> that you can download from <a href="https://web.archive.org/web/20210928094820/https://archive.codeplex.com/?p=wpl" rel="nofollow noreferrer">CodePlex</a>. It includes a utility that uses a white-list approach to <code>HtmlEncoding</code> (much safer and better, and <a href="https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html" rel="nofollow noreferrer">recommended by OWASP</a> although they point to an <a href="https://web.archive.org/web/20100226175054/http://www.codeplex.com:80/AntiXSS" rel="nofollow noreferrer">older version</a>). It also has tools that allow you to get safe HTML fragments, etc.
If you look at nothing else, however, take a look at the <a href="https://owasp.org/www-project-top-ten/" rel="nofollow noreferrer">OWASP top 10</a>. It sounds like you're just scratching the surface of web app security, and this is the best resource out there. Cross-Site Scripting attacks are just one of a whole slew of things you need to defend against.
It's also the one you will need to conform to if you have to deal with any sort of compliance (PCI, Red flag, etc)

blocks|key|1233125|text|在.NET+v4.0及更高版本中，您可以在Web表单上使用以下内容：|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1233126|<%25
+++string+notificationIcon+=+"<i+class='fa+fa-plus+fa-icon+fa-stack-right-top'>";
%25>
<%25:+new+HtmlString(notificationIcon)+%25>|code-block|syntax|javascript|1233127|Microsoft+Docs|offset|length|1233128|entityMap|0|LINK|mutability|MUTABLE|url|https://docs.microsoft.com/en-us/dotnet/api/system.web.htmlstring.-ctor?view=netframework-4.8&WT.mc_id=email^0|0|0|0|E|0|0^^$0|@$1|2|3|4|5|6|7|S|8|@]|9|@]|A|$]]|$1|B|3|C|5|D|7|T|8|@]|9|@]|A|$E|F]]|$1|G|3|H|5|6|7|U|8|@]|9|@$I|V|J|W|1|X]]|A|$]]|$1|K|3|-4|5|6|7|Y|8|@]|9|@]|A|$]]]|L|$M|$5|N|O|P|A|$Q|R]]]]

In .NET v4.0 and above, you can use the following on Web Forms:
<pre><code>&lt;%
 string notificationIcon = &quot;&lt;i class='fa fa-plus fa-icon fa-stack-right-top'&gt;&lt;/i&gt;&quot;;
%&gt;
&lt;%: new HtmlString(notificationIcon) %&gt;
</code></pre>
<a href="https://docs.microsoft.com/en-us/dotnet/api/system.web.htmlstring.-ctor?view=netframework-4.8&amp;WT.mc_id=email" rel="nofollow noreferrer">Microsoft Docs</a>

I have an ASP.NET Web Forms application. There is a page with TextBoxes and users enter search terms into these which are used to query the database.

I know that I need to prevent JavaScript injection attacks. How do I do this?

In MVC I would use <code>Html.Encode</code>. It doesn't seem to be recognized in Web Forms.

Thanks!

How to Html.Encode in webforms

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

我有一个ASP.NET Web Forms应用程序。有一个带有TextBoxes的页面，用户可以在其中输入用于查询数据库的搜索词。我知道我需要防止JavaScript注入攻击。我该怎么做呢？在MVC中，我会使用Html.Encode。它似乎在Web表单中不被识别。谢谢!

问如何在webforms中使用Html.Encode
EN

回答 5

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何在webforms中使用Html.EncodeEN

回答 5

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何在webforms中使用Html.Encode
EN