Microsoft's AntiXss Library kullanıyorum ve JavaScriptEncode yönteminin sonucu tek tırnak içine almasının iyi bir nedeni olup olmadığını merak ediyordum? Bu davranış alışılmamış gibi görünüyor.AntiXss.JavaScriptEncode sarmalarının neden tek tırnak işareti oluşturduğunun iyi bir nedeni var mı?
Aslında yeni 3.0 beta sürümünde bir flag JavaScriptEncode (string input, bool flag forQuote) var. Bunu yanlış olarak ayarlamak, bir sonuç vermeden sonuç verir.
Muhtemelen bir dizge döndürdüğünden emin olun. Gördüğüm kullanım girdiyi alıp javascript'te bir değişkene atayabileceğiniz bir değer döndürmektir.
var message = <% AntiXss.JavaScriptEncode (message)%>;
Şimdi, mesajda ne olduğu önemli değil, js değişken mesajının tam girişi doğru şekilde kaçtıracak, böylece bazı sarsıntı javascript'i bu iletiye enjekte ederse, yalnızca iletilerinin mesaja atanmasının sonucunu gördüklerini değişken.
Sağ. Ancak daha sık kendimi dizeler * parçasını * oluşturan güvenilmeyen kullanıcı girişini kodlamak için JavaScriptEncode'u kullanarak buluyorum ve bu senaryoda '+' ile bitiştirmek veya tırnakları elle kaldırmak için can sıkıcı oluyor. Bunun, diğer yöntemlerden hiçbirinin benzer bir şey yapmadığı (örneğin, HtmlAttributeEncode sonucunu çift tırnak içine almaz) beklendiği gibi davranmadığını da iddia ediyorum. –
Daha fazla kabul edilemedi. Gerçekten çok sinir bozucu – Erlend