在asp.net 4中,有个新增加的对HTML过滤,防止XSS攻击的新特性,那就是使用
<% : %>表达式.
首先,假如使用传统的<%=xxxx%>表达式的话,有可能出现这样的情况,即:
<%= data %>
如果data用户输入的是“<script>alert(‘Hello’);</script>javascript injected”
则会造成RSS攻击了,现在我们可以这样
<%: data %>则会自动过滤掉这些HTML了,十分方便安全
<% : %>表达式.
首先,假如使用传统的<%=xxxx%>表达式的话,有可能出现这样的情况,即:
<%= data %>
如果data用户输入的是“<script>alert(‘Hello’);</script>javascript injected”
则会造成RSS攻击了,现在我们可以这样
<%: data %>则会自动过滤掉这些HTML了,十分方便安全