試試看對資料用HTML編碼:
寫入資料DB時用HttpUtility.HtmlEncode()
顯示資料時用HttpUtility.HtmlDecode()
Hi "只是匯出Excel 真的會有被攻擊的風險嗎?"
他的潛在風險訊息是Stored XSS種類
所以問題點在於
他已經先
以你目前應用程式存取的DB當中已經有存入具有風險的任一script(JavaScript)為前提來判定了
所以要處理的是在於承接資料那端比方DataSet或DataTable
如果真覺得是誤判也可以把這類的取消掉的樣子