62,254
社区成员
发帖
与我相关
我的任务
分享EVAL 如何防止 脚本注入
前台:
<asp:Repeater ID="Repeater1" runat="server" ...
....
<ItemTemplate>
<tr>
<td >
<%# Eval("ReceiveText")%>
</td>
后台:
var data = GetList();
Repeater1.DataSource = data.EntityList;
Repeater1.DataBind();
从数据库读取的数据中有一条: >''><script>alter(5)</script>
导致IE9页面运行出错。
已经写好转义的方法ReplaceHtmlTag()。去掉<>/\''等。
现在的问题是,在哪使用这个方法?还是我在Repeater里面加一个事件解决?事件解决的话又该如何?
求解决详细代码。
<asp:Repeater ID="Repeater1" runat="server" ...
....
<ItemTemplate>
<tr>
<td >
<%# Eval("ReceiveText")%>
</td>
后台:
var data = GetList();
Repeater1.DataSource = data.EntityList;
Repeater1.DataBind();
从数据库读取的数据中有一条: >''><script>alter(5)</script>
导致IE9页面运行出错。
已经写好转义的方法ReplaceHtmlTag()。去掉<>/\''等。
现在的问题是,在哪使用这个方法?还是我在Repeater里面加一个事件解决?事件解决的话又该如何?
求解决详细代码。
...全文
请发表友善的回复…
发表回复
MichaelMX 2013-07-05
- 打赏
- 举报
求高手指点~~
MichaelMX 2013-07-04
- 打赏
- 举报
这个问题好像出的不是很多。现在用EVAL的少吧
MichaelMX 2013-07-04
- 打赏
- 举报
<%#GetReceiveText(Convert.ToString(Eval("ReceiveText")))%>
试了,无效
不知道未来的你多强大 2013-07-04
- 打赏
- 举报
把EVAL("ReceiveText")强制转换成你要传递的类型
不知道未来的你多强大 2013-07-04
- 打赏
- 举报
.cs中
/// <summary>
/// 字符串截取方法
/// </summary>
/// <param name="obj"></param>
/// <param name="len"></param>
/// <returns></returns>
public static string subStr(string obj, int len)
{
if (obj.Length > len)
return obj.ToString().Substring(0, len) + "...";
else
return obj.ToString();
}
<%=subStr(newsOneList[i].NewsTitle, 30)%>
<asp:Label ID="IsDisplay" runat="server" Text='<%# Isdisplay(Convert.ToBoolean(Eval("IsDisplay")))%>'></asp:Label>
MichaelMX 2013-07-04
- 打赏
- 举报
试了,不行。现在是EVAL("ReceiveText")这里直接出错,我将整体作为一个参数传过去,没用。
不知道未来的你多强大 2013-07-04
- 打赏
- 举报
在.cs中写方法,在.aspx调用
