[fortify掃描漏洞修復]-前導,.NET控制項預設屬性編碼
前陣子處理一個Fortify漏洞掃描修復的Web Form專案,在後續會將處理的解決方式記錄下來,其中會利用控制項預設編碼的屬性來解決幾個問題,本篇就先了解有預設Html Encode的控制項屬性。
預設有編碼的控制項屬性
- TextBox.Text
- HyperLink.NavifateUrl
- HyperLink.ToolTip
- ImageButton.ImageURL
- ImageButton.AlternateText
- DropDownList.Item.Text
- DropDownList.Item.Value
- ListBox.Item.Text
- ListBox.Item.Value
- GridView.BoundField → 預設為HtmlEncode
- HiddenField.Value
預設沒有編碼的控制項屬性
- Label.Text
- HyperLink.Text
- LinkButton.Text
由上可知,沒有編碼的屬性在賦予值時,就會有Cross-Site Scripting的風險,不過實際上在Fortify掃描時,有一些預設有編碼過的屬性,還是會被認為有風險而被掃出來。
目前先列這些,之後有遇到在補上。