在开发Web程序时经常用到的对HTML代码进行编码输出,防止脚本侵入攻击。一般大家都喜欢使用HtmlEncode对String进行编码,但还提供一个HtmlAttributeEncode 方法。这个方法在效率上比HtmlEncode快很多。但这是有代价的付出的HtmlAttributeEncode只对 左引号(“),左括号((),and符合(&)转换为等效的字符实体。
“HtmlAttributeEncode 方法的结果字符串只应当用于由双引号括起的属性。使用 HtmlAttributeEncode 方法和用单引号括起的属性可能会引起安全问题。”
看大家的选择了,如果仅仅是担心输出HTML代码和JS方面的安全,可以使用HtmlAttributeEncode 方法,效率更高!
Google 标记: HtmlAttributeEncode, 脚本侵入
--=阅读快乐=--
欢迎访问我的新鱼塘 www.pumaboyd.com
