DropDownList (WebControls)의 기본 .NET 위생화

Question

일부 .NET에서 WebControls에 XSS 문제가 발생했습니다. 내 코드에서 뒤에 나는이 같은 foreach 문에 추가 된 많은 ListItems와 간단한 DropDownList로있어 : 드롭 생성 할 때, 옵션의 값 속성은 완전히 소독되지 않은

foreach (string enumValue in aEnumValues) 
     pListBox.Items.Add(new ListItem(enumValue, enumValue)); 

하지만. 응답 본문의 옵션은 다음과 같습니다.

<option selected="selected" value="&quot;>&lt;img src=2 onerror=alert(y65)>">&quot;&gt;&lt;img src=2 onerror=alert(y65)&gt;</option> 
<option value="df">df</option> 
<option value="&quot;dsdf>&lt;img src=2 onerror=alert(y65)> &quot;>&lt;img src=2 onerror=alert(y65)> ">&quot;dsdf&gt;&lt;img src=2 onerror=alert(y65)&gt; &quot;&gt;&lt;img src=2 onerror=alert(y65)&gt; </option> 

볼 수 있듯이 모든 문자가 이스케이프되지는 않습니다. 이 문제를 어떻게 해결할 수 있습니까? 아니면 WebControls에 문제가 있습니까?

Answer 1

ListControls의 값은 일반적으로 정수이며, 리펙토링 할 수 있으면 향후 변경 사항에 대해 유지 관리가 가능합니다. (예멘 아랍 공화국 주석 기준)

foreach (string enumValue in aEnumValues) 
    pListBox.Items.Add(new ListItem(enumValue, Server.HtmlEncode(enumValue))); 

업데이트 : 당신이 빠른 수정을 원하는 경우에, u는 html로 부품을 인코딩 할 수 u는 select 태그를 보면

는 HTML 태그를 보여,이 html 태그를 보여주는 선택 태그를 본 적이 있습니까? 선택 태그가 숨겨져 있고 페이지의 일부 논리에 해당합니다.

<select id="card"> 
    <option value="visa">Visa</option> 
    <option value="mc">Master card</option> -- value is abbreviation of display text 
    <option value="amex">American Express</option> 
</select> 
<select id="lstStates"> 
    <option value="CA">California</option> -- value is state's code 
    <option value="FL">Florida</option> 
</select> 
<select id="lstStaffs"> 
    <option value="1001">Daniel Smith</option> --value is StaffId 
    <option value="1008">John Doe</option> 
</select>