La bibliothèque Microsoft AntiXSS est-elle utile et en ai-je besoin si j'utilise des contrôles serveur?

Question

J'ai téléchargé et regardé la bibliothèque Microsoft AntiXSS, mais je ne suis pas sûr à 100% que je dois l'utiliser pour les contrôles serveur (asp: textbox, etc). Tout va bien quand je l'utilise avec un contrôle html standard (entrée, etc). Il semble que la sortie soit encodée deux fois lorsque j'utilise la librairie antixss sur les contrôles du serveur. Je n'utilise actuellement que la bibliothèque antixss pour les contrôles HTML standard. Suis-je protégé contre les scripts inter-sites en utilisant les contrôles serveur et est-ce la meilleure pratique?

Answer 1

Malheureusement, l'historique d'encodage HTML pour les contrôles serveur n'est pas cohérent, de sorte que vous pouvez dire que l'utilisation de contrôles serveur résoudra automatiquement le problème. Voir What's wrong with ASP.NET? HTML encoding pour une table dont les contrôles serveur ont besoin de coder manuellement leur sortie.