XSS en DataBinder.Eval

votos
1

¿Dónde en el siguiente código de C # detrás está el potencial de XSS?

// Get data based on key names
for (int i = 0; i < m_dataKeyNames.Length; i++)
{
   data[i] = (string)DataBinder.Eval(container.DataItem, m_dataKeyNames[i]);
}

¿Esto puede ser arreglado? Gracias.

Publicado el 12/03/2009 a las 15:59
fuente por usuario
En otros idiomas...                            


1 respuestas

votos
1

Dependiendo de dónde provengan los datos, podría contener un guión que alguien haya agregado a través de otro formulario.

Al agregar datos y obtener los datos, debe santificarlos utilizando el método HtmlEncode .

Respondida el 12/03/2009 a las 16:18
fuente por usuario

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more