DropDownList (WebControls) 上的默认 .NET 清理

Question

我正在使用遗留代码 - 带有一些 .NET 的 WebControls，遇到了 XSS 问题。 在我后面的代码中，我在 foreach 中添加了简单的 DropDownList 和 ListItems，如下所示：

 foreach (string enumValue in aEnumValues)
      pListBox.Items.Add(new ListItem(enumValue, enumValue));

但是，当 dropDown 生成时，选项的值属性没有被完全清理。响应正文中的选项如下所示：

<option selected="selected" value="&quot;>&lt;img src=2 onerror=alert(y65)>">&quot;&gt;&lt;img src=2 onerror=alert(y65)&gt;</option>
<option value="df">df</option>
<option value="&quot;dsdf>&lt;img src=2 onerror=alert(y65)> &quot;>&lt;img src=2 onerror=alert(y65)>    ">&quot;dsdf&gt;&lt;img src=2 onerror=alert(y65)&gt;    &quot;&gt;&lt;img src=2 onerror=alert(y65)&gt;  </option>

如您所见，对于值属性，并非所有字符都被转义。我怎样才能解决这个问题？或者这是 WebControls 的一些问题？

Answer 1

ListControls 中的值通常是整数，如果你可以重构它，它将更易于维护以应对未来的任何变化。如果您想快速修复，您可能需要对 html 部分进行编码：

foreach (string enumValue in aEnumValues)
    pListBox.Items.Add(new ListItem(enumValue, Server.HtmlEncode(enumValue)));

更新（基于您的评论）：

如果您查看显示 html 标签的选择标签，您是否见过显示 html 标签的选择标签？我敢打赌选择标签是隐藏的，它是为了页面中的一些逻辑。通常选项标签中的值属性是整数或代码之类的一个词：

<select id="card">
  <option value="visa">Visa</option>
  <option value="mc">Master card</option>  -- value is abbreviation of display text
  <option value="amex">American Express</option>
</select>
<select id="lstStates">
  <option value="CA">California</option>  -- value is state's code
  <option value="FL">Florida</option>
</select>
<select id="lstStaffs">
  <option value="1001">Daniel Smith</option>   --value is StaffId
  <option value="1008">John Doe</option>
</select>