CheckMarx scan on dot net application

Question

Checkmarkx scan жалуется, что определенное значение элемента протекает через код без надлежащей очистки или проверки и в конечном итоге отображается пользователю в методе OnItemDataBound "в тех местах, где выпадающие значения передаются или выбраны. Пример :

strText = dropdownlist.SelectedValue; 

или

return dropdownlist.SelectedValue; 

Как дезинфицировать эти значения могут HTMLEncode и декодировать склонны избегать таких результатов уязвимости?

Обратите внимание, что это приложение для точечной сети.

Answer 1

Предполагая, что это относится к обнаружению уязвимости XSS, результирующая строка точно так же, как любая другая строка, и управляется злоумышленником.
Так что да, вы должны вызывать HTMLEncode (или выполнять какой-либо другой тип дезинфекции, в зависимости от контекста, например, AntiXSS), в этой строке перед встраиванием в HTML - так же, как и с любыми другими внешними данными.