Tôi đã sử dụng Microsoft's AntiXss Library và đã tự hỏi liệu có một lý do chính đáng tại sao phương pháp JavaScriptEncode của nó kết thúc tốt đẹp kết quả trong dấu nháy đơn không? Hành vi đó có vẻ độc đáo.Có lý do chính đáng nào khiến kết quả của AntiXss.JavaScriptEncode kết thúc tốt đẹp trong các dấu nháy đơn không?
Thực ra phiên bản 3.0beta mới có cờ JavaScriptEncode (đầu vào chuỗi, bool flagforQuote). Đặt nó thành false, mang lại kết quả không có dấu ngoặc kép.
Có thể đảm bảo rằng nó trả về một chuỗi. Cách sử dụng tôi đã thấy là lấy đầu vào và trả về một giá trị mà bạn có thể gán cho một biến trong javascript.
var message = <% = AntiXss.JavaScriptEncode (tin nhắn)%>;
Bây giờ, bất kể thông điệp gì, thông báo biến js sẽ có đầu vào chính xác được thoát một cách thích hợp, vì vậy nếu một số người cố gắng đưa javascript vào thông điệp đó, họ sẽ chỉ thấy kết quả của thư được gán cho thư biến.
Phải. Nhưng thường thì tôi thấy mình sử dụng JavaScriptEncode để mã hóa đầu vào người dùng không tin cậy tạo thành * phần * của chuỗi và trong kịch bản đó, nó chỉ gây khó chịu để nối với '+' hoặc xóa dấu ngoặc kép theo cách thủ công. Tôi cũng cho rằng đây không phải là hành vi mà người ta mong đợi vì không có phương pháp nào khác thực hiện bất kỳ điều gì tương tự (ví dụ: HtmlAttributeEncode không bọc kết quả trong dấu ngoặc kép). –
Không thể đồng ý hơn. Rất khó chịu – Erlend