Microsoft Web保護庫不對ASP.NET 4.0上的XSS進行編碼Webforms gridview

Question

我有一個使用一些GridView的ASP.NET 4.0 webforms應用程序。我試圖讓MS Web Protection Library在gridview中正確編碼數據，以防止出現跨站點腳本問題。

我已經添加了通過的NuGet的WPL庫的V4.2.1，並增加了以下我Web.config文件：

<httpRuntime encoderType="Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary" executionTimeout="240" maxRequestLength="20480" requestValidationMode="2.0" /> 

不幸的是，這似乎並沒有工作。當從數據庫輸出到gridview時，字符串<b>hi there</b>沒有正確編碼。

我已經在過去使用一個名爲AntiXssModule.dll的DLL，但我現在找不到任何對此的引用，並且一切似乎都指向了WPL。

我錯過了一些明顯的東西嗎？

Answer 1

這個回覆可能有一年太晚了，但這是我在發現類似問題時發現的： requestValidationMode = 2.0和encoderType = AntiXssLibrary的組合不起作用，我不得不將requestValidationMode的值更改爲4.0 。但是，這可能會導致其他問題。

/simon/