CheckMarxが

Question

Checkmarxスキャンは、特定の「要素の値が適切に消毒または検証し、最終的方法でユーザに表示されることなく、コード流れるOnItemDataBound」という文句の値が渡されているドロップダウンの場所にドットネットアプリケーションにスキャンまたはselected.Example ：？このような脆弱性の結果を回避する傾向HTMLencodeおよびデコードすることができますどのようにこれらの値をサニタイズする

strText = dropdownlist.SelectedValue; 

または

​​

？

これはドットネットアプリケーションのためのものです。これはXSS脆弱性の発見を参照していると仮定すると

Answer 1

は、結果の文字列は他の列と同様であり、攻撃者によって制御可能です。
はそうです、あなたはHTMLに埋め込む前に、その文字列に（例えばAntiXSS、または消毒の他のいくつかの種類を実行し、コンテキストにdeoending）HTMLEncodeを呼び出す必要があります - ちょうどあなたが他の外部データの場合と同様に。