Asp.net 所有webforms控件都编码HTML吗？_Asp.net_Webforms

Asp.net 所有webforms控件都编码HTML吗？

asp.net

Asp.net 所有webforms控件都编码HTML吗？,asp.net,webforms,Asp.net,Webforms,我正在尝试审核我的旧WebForms应用程序是否存在XSS漏洞。作为一个WebForms应用程序，它主要通过控件、文本框、标签等以及语法将内容写入页面我的问题是：是否所有控件都对HTML进行编码，以便我知道像这样的任何控件都是安全的，还是有一些控件不安全，并且需要手动显式编码？还有，有没有其他方法可以让文本不经过编码就以WebForms的形式出现在页面上这里我不是说实际的HTML或富文本编辑器控件，只是传统的文本显示控件。我不认为大多数控件（如果不是任何控件的话）在两个方向上都会自动进行编码

我正在尝试审核我的旧WebForms应用程序是否存在XSS漏洞。作为一个WebForms应用程序，它主要通过控件、文本框、标签等以及

语法将内容写入页面

我的问题是：是否所有控件都对HTML进行编码，以便我知道像

这样的任何控件都是安全的，还是有一些控件不安全，并且需要手动显式编码？还有，有没有其他方法可以让文本不经过编码就以WebForms的形式出现在页面上

这里我不是说实际的HTML或富文本编辑器控件，只是传统的文本显示控件。

我不认为大多数控件（如果不是任何控件的话）在两个方向上都会自动进行编码。

简单的答案是否定的，

按照tin上的说明执行，它将按照提供的DAH进行渲染，因此这是一个明显的例外。但是还有其他版本吗？我不确定这些年来它是否发生了变化，但是是哪个版本的asp.net（visual studio）？最新版本，asp.net 4.5和VS 2013（即将是VS 2015）。我希望这会有所帮助。很难说你问的是控件的输出，还是ctrl+用户输入的组合，等等。不管怎样，那篇文章有很多不错的链接，如果不太正确的话。控件输出。如果用户提供HTML，则应该对其进行编码，除非它是富文本控件，在这种情况下，我们需要确保没有危险的标记。