XSS dans DataBinder.Eval

Question

Où dans le C# codebehind suivant est le potentiel pour XSS?

// Get data based on key names 
for (int i = 0; i < m_dataKeyNames.Length; i++) 
{ 
    data[i] = (string)DataBinder.Eval(container.DataItem, m_dataKeyNames[i]); 
} 

Est-ce que cela peut être résolu? Merci.

Answer 1

Selon l'origine des données, il peut contenir un script ajouté par un autre formulaire. Lors de l'ajout des données et de l'obtention des données, vous devez les santiser à l'aide de la méthode HtmlEncode.