[fortify掃描漏洞處理]-前導

[fortify掃描漏洞修復]-前導,.NET控制項預設屬性編碼

前陣子處理一個Fortify漏洞掃描修復的Web Form專案,在後續會將處理的解決方式記錄下來,其中會利用控制項預設編碼的屬性來解決幾個問題,本篇就先了解有預設Html Encode的控制項屬性。

預設有編碼的控制項屬性

  • TextBox.Text
  • HyperLink.NavifateUrl
  • HyperLink.ToolTip
  • ImageButton.ImageURL
  • ImageButton.AlternateText
  • DropDownList.Item.Text
  • DropDownList.Item.Value
  • ListBox.Item.Text
  • ListBox.Item.Value
  • GridView.BoundField → 預設為HtmlEncode
  • HiddenField.Value

預設沒有編碼的控制項屬性

  • Label.Text
  • HyperLink.Text
  • LinkButton.Text

由上可知,沒有編碼的屬性在賦予值時,就會有Cross-Site Scripting的風險,不過實際上在Fortify掃描時,有一些預設有編碼過的屬性,還是會被認為有風險而被掃出來。

目前先列這些,之後有遇到在補上。