DropDownList（WebControls）の既定の.NETサニタイズ

Question

私は従来のコードで作業しています - .NETでWebControlsが動作していて、XSSの問題があります。

foreach (string enumValue in aEnumValues) 
     pListBox.Items.Add(new ListItem(enumValue, enumValue)); 

しかし、ドロップダウンが発生した場合、オプションの値属性が完全にサニタイズされていない：私はこのようなforeachの中に追加のListItemを持つ単純なDropDownListコントロールを持っているの背後にある私のコードでは レスポンス本文のオプションは次のようになります。

<option selected="selected" value="&quot;>&lt;img src=2 onerror=alert(y65)>">&quot;&gt;&lt;img src=2 onerror=alert(y65)&gt;</option> 
<option value="df">df</option> 
<option value="&quot;dsdf>&lt;img src=2 onerror=alert(y65)> &quot;>&lt;img src=2 onerror=alert(y65)> ">&quot;dsdf&gt;&lt;img src=2 onerror=alert(y65)&gt; &quot;&gt;&lt;img src=2 onerror=alert(y65)&gt; </option> 

ご覧のとおり、すべての文字がエスケープされているわけではありません。これをどうすれば解決できますか？または、これはWebControlsの問題ですか？

Answer 1

ListControlsの値は通常は整数ですが、リファクタリングすることができれば、将来の変更に対してより保守性が高くなります。 （年のコメントに基づいて）

foreach (string enumValue in aEnumValues) 
    pListBox.Items.Add(new ListItem(enumValue, Server.HtmlEncode(enumValue))); 

更新：あなたはクイックフィックスをしたい場合は、Uは、HTML部分をエンコードする必要がありますすることができますuはselectタグを見れば

が、それはhtmlタグを表示し、持っていますあなたはhtmlタグを表示する選択タグを見たことがありますか？私は選択タグが隠されていると思うし、それはページ内のいくつかのロジックです。

<select id="card"> 
    <option value="visa">Visa</option> 
    <option value="mc">Master card</option> -- value is abbreviation of display text 
    <option value="amex">American Express</option> 
</select> 
<select id="lstStates"> 
    <option value="CA">California</option> -- value is state's code 
    <option value="FL">Florida</option> 
</select> 
<select id="lstStaffs"> 
    <option value="1001">Daniel Smith</option> --value is StaffId 
    <option value="1008">John Doe</option> 
</select>