windows 服务器如何解决eval 攻击

前台：

<asp:Repeater ID="Repeater1" runat="server" ...

....

<ItemTemplate>

<tr>

<td >

<%# Eval("ReceiveText")%>

</td>

后台：

var data = GetList()

Repeater1.DataSource = data.EntityList

Repeater1.DataBind()

从数据库读取的数据中有一条： >''><script>alter(5)</script>

导致IE9页面运行出错。

已经写好转义的方法ReplaceHtmlTag（）。去掉<>/\''等。

一般来说：eval 用于单向输出；bind 除了输出，还可以接收客户端提交的值。

eval

<asp:TextBox runat="server" Text='<%# Eval("CompanyName") %>'></asp:TextBox>

这种情况下，输出 CompanyName 到客户端后，用户再提交，这个值还会返回给服务器端，因为它是文本框嘛，但提交是提交，没有哪个控件会理会这个值，也就是说其提交的值不会被哪个控件使用。

所以更多的情况下，我们没有在 TextBox 中用 Eval，而是在 Literal 中使用。

bind

<asp:TextBox id="TextBox1" runat="server" Text='<%# Bind("CompanyName") %>'></asp:TextBox>

这种情况下，输出 CompanyName 到客户端后，用户再提交，这个值还会返回给服务器端，并且对应的 DataSource 会使用这个值，比如修改时，它就会用这个值来作为修改后的值。

使用 bind 的时候，控件的 id 是必不可少的，起什么名字不重要，只要不重复就行了。

注意

eval 和 bind 的很“娇气”，下面的用法都是错误的：

<asp:Button runat="server" Text='增加点内容<%# Eval("Id") %>' />

<asp:Button runat="server" Text='删除' OnClientClick='del(<%# Eval("Id") %>)' />

---