做软件开发许久,突然意识到一个问题,假如有一些用户在无聊的时候,通过页面向你的数据库添加JS代码,在网页打开是读取到这个JS,我们是执行呢,还是不执行?当然不允许他们执行,否则那帮混小子就可以通过JS向我们的网站注入非法程序啦!
解决方法如下:
*.aspx.cs中
定义string str ="<script language='javascript' >alert('ok')</script>";
*.aspx中
<%=HttpUtility.HtmlEncode(str)%><%-- 将string str 按照普通字符打印在页面上 --%>
<%=HttpUtility.HtmlDecode(str) %><%-- 将string str 按照JS代码在页面加载时执行 --%>