Con .net 4 hay un nuevo <%:%> recinto de script que es como <% =%> pero tiene una codificación html. La gente está fomentando el uso de esta nueva sintaxis.<%: %> vs Microsoft la biblioteca anti XSS
Mi pregunta es, ¿<%:%> protege mejor contra XSS o también usa la biblioteca Microsoft Anti XSS?
Una persona de seguridad de Microsoft me dijo una vez que nunca use HTML Encode ya que no protege muy bien y que siempre debería usar la biblioteca Anti XSS (u otra biblioteca). ¿Sigue siendo cierto con <%:%>? ¿O puedo usar con confianza <%:%> sabiendo que va a proteger mi aplicación de XSS como dicen las personas?
No sabía que conectar <%: %> a un codificador diferente. Eso es genial. – dtc