Я пытаюсь убедиться, что мое приложение ASP.NET для веб-форм максимально безопасно, оно получает и сохраняет данные, вводимые пользователем, в базу данных SQL (обычный материал) только для пользователей с логином, поэтому недоступно для широкой публики.
Отключив ValidateRequest
для входных страниц, я понимаю, что существует риск XSS-атак — все SQL-запросы параметризованы, поэтому они защищены от SQL-инъекций (правильно?).
Могу ли я вместо использования библиотеки Anti-XSS просто использовать HTMLencode
для входного текста? Затем мне сохранить строку HTMLencode
d?
Или я неправильно на это смотрю? Должен ли я сохранять ввод пользователя дословно, а затем HTMLencode
или XSS-HTMLencode
каждый раз, когда он выводится в браузер?