W uwagach do kroku 1 w "How To: Prevent Cross-Site Scripting in ASP.NET" stwierdza się, że "nie należy polegać na sprawdzaniu poprawności żądania ASP.NET, traktując to jako dodatkowy środek zapobiegawczy oprócz własnego sprawdzania poprawności danych wejściowych."Dlaczego ValidateRequest = "true" nie wystarcza do zapobiegania XSS?
Dlaczego to nie wystarczy?
Po pierwsze, hakerzy zawsze wymyślają nowe ataki i nowe sposoby wstawiania XSS. Wartość RequestValidation programu ASP.NET jest aktualizowana tylko po wydaniu nowej wersji programu ASP.NET, więc jeśli ktoś wymyśli nowy atak dzień po zwolnieniu ASP.NET RequestValidation, nie będzie go mógł przechwycić.
To (myślę) jest jednym z powodów, dla których pojawił się projekt AntiXSS, więc może mieć szybszy cykl wydań.
Zaledwie dwie wskazówki:
komunikat może aplikacja nie tylko dane, które zostały wprowadzone przy użyciu formularzy ASP.NET. Pomyśl o usługach internetowych, kanałach RSS, innych bazach danych, informacjach wyodrębnionych z przesłanych przez użytkowników itp.
Czasami konieczne jest wyłączenie domyślnego (skutecznego, ale zbyt prostego) sprawdzania poprawności żądania, ponieważ musisz zaakceptować nawiasy ostrokątne w swoich formularzach. Pomyśl o edytorze WYSIWYG.
+1 za wzmiankę o AntiXss, z której wszyscy powinni korzystać. – slugster