ASp.Net 2.0のXMLファイルからの入力から危険な文字をフィルタリングする方法C＃？

Question

パラメータを持つURLを含む項目を含むxmlファイルがあります。このパラメータは別のページで使用され、Request.QueryString()からアクセスされます。

AppScanを実行すると、危険であり、ユーザーの入力から危険な文字をフィルタする必要があることが分かりました。これどうやってするの？ URLとxmlファイルの項目の例：

<item Text="Test" navigate="Test.aspx?Param=TestList" /> 

または

<item Text="Test1" navigate="Test1.aspx?Param=TestList;age=5;weight=9" /> 

任意のヘルプ？

Answer 1

あなたのXMLがあなた（サイト所有者）によって制御されていて、ユーザーがそれを変更することができない場合は、XMLにスクリプトを入れないでください。

実際の問題は、Test.aspxなどのページがレンダリングされたクエリパラメータがエスケープされていない（または間違ってエスケープされている）ようです。ユーザー（ハッカー）があなたのサイトへのURLを入力できるように、このページを修正する必要があります。

一般に、XSS予防についてお読みください。どのクエリパラメータが受け入れることができるかという非常に厳格なリストを持つことは、最も単純な修正の1つです（つまり、「年齢」は整数でなければなりません）。