Я реализовал Request.QueryString ["somestr" ] .ToString ();
Я подавляю межсайтовый скриптинг, выполняя HttpUtility.HtmlEncode (Request.QueryString ["somestr"]. ToString ();
У меня все еще есть проблема, когда пользователь может:
myfriendlydomain.com/?somestr = '; alert (WOO XSS SUCCEDED); test ='
Как я могу предотвратить это?
По запросу:
//Code Behind
if(request.querystring["somestr"] != null)
{
AffiliatesEmail = HttpUtility.HtmlEncode(Request.QueryString["somestr"].ToString();
}
//Front End
<script type="text/javascript">
//<![CDATA[
/*** Do not change ***/
var SomeVAR = {};
SomeVAR.Tracking.Sale.orderRef = '<%= AffiliatesEmail %>';
//]]>
</script>
<script src="https://www.somethirdparty.com/somejscript.js" type="text/javascript" defer="defer"> </script>
Это наша реализация. Что-нибудь потом я не верю, это актуально.