ASP.NET對資料進行HTML編碼將其綁定到DrowdownList並解碼的解決方案

1問題背景

在Web開發過程中，需要對使用者輸入的資料進行驗證和過濾，以防止注入攻擊，其中有比較常用的方式就是過濾和編碼。

過濾，就是在過濾使用者輸入的敏感字元，可以採用限制使用者輸入敏感字元和自動刪除敏感字元，限制使用者輸入就會引發使用者的不滿，這也不能輸那也不能輸，而自動刪除密碼字元呢，就會改變使用者如入的內容，可能使用者體驗更差，甚至會發生意義的改變，兩種方式在非嚴格輸入的場合，如財務系統，crm等都不是最佳選擇。

編碼方式，就是對使用者輸入的內容進行編碼，然後存入資料庫，然後直接顯示在HTML頁面，或者解碼後顯示在文字框內，既沒有嚴格的限制，也不會改變使用者輸入的內容。

但是在ASP.NET資料繫結時，就出現了問題。

ASP.NET資料繫結，只需幾行，即

代碼如下	複製代碼
dropDownList.DataSource = datasource;   dropDownList.DataTextField = textField;   dropDownList.DataValueField = valueField;   dropDownList.DataBind();

但是對於編碼後的資料來源，就會出現如下問題，

有如下圖一個分類

但是綁定到DrondownList應用是出現了如下問題：

 

2解決方案

對繫結資料項進行HTML解碼，即重寫DataBound時間，本文採用匿名委託來實現

代碼如下	複製代碼
dropDownList.DataBound += delegate(object sender, EventArgs e)                 {                     int i = 0;                     ListControl list = sender as ListControl;                     foreach (ListItem l in list.Items)                     {                         l.Text = l.Text.ToHtmlDecode();                         i++;                     }                 };