Microsoft AntiXSS库是否有用，如果我使用服务器控件，是否需要它？

Question

我已经下载并查看了Microsoft AntiXSS库，但我并不是100％确定需要将它用于服务器控件（asp：textbox等）。当我使用标准的html控件（输入等）时，一切都很好。当我在服务器控件上使用antixss库时，它看起来像输出被编码了两次。

我目前只使用标准html控件的antixss lib。我是否通过使用服务器控件保护跨站点脚本，这是最佳做法吗？

Answer 1

不幸的是，服务器控件的HTML编码故事并不一致，因此您可以说使用服务器控件将自动解决问题。请参阅What's wrong with ASP.NET? HTML encoding了解哪些服务器控件需要您手动编码其输出的表格。