Program ASP.NET MVC 4 domyślnie ignoruje dane wejściowe HTML w wiadomościach pocztowych. Jeśli nie akceptuję jawnie HTML, czy jest jakiś kod, który muszę napisać, aby obronić moją witrynę przed atakami XSS? Nie będę używać [AllowHtml]
ani [ValidateInput(false)]
. Próbuję się dowiedzieć, czy powinienem się martwić atakami XSS, czy nie. Używam Razor jako mojego mechanizmu wyświetlania.Czy środowisko ASP.NET MVC 4 wymaga dodatkowej obsługi XSS
13
A
Odpowiedz
12
Znalazłem świetny wpis na blogu autorstwa Amir Ismail, który rozwiązuje wszystkie Twoje wątpliwości. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
Podsumowując, co pisze. Żyletka jest kodowana domyślnie, chyba że użyto Html.Raw
. Html.AntiForgeryToken()
można użyć do utworzenia losowego tokena, który będzie chronił przed CSRF, ale wymaga akceptacji plików cookie.
Powiązane problemy
- 1. ASP.NET MVC 4 i ExtensionlessUrlHandler
- 2. Asp.Net Mvc 4 Kod źródłowy?
- 3. Autofac Integracja MVC z ASP.Net MVC 4
- 4. MVC MiniProfiler z ASP.NET MVC 4
- 5. asp.net MVC 4 z StructureMap
- 6. ASP.NET MVC 4 pole waluty
- 7. Aktualizowanie ASP.NET MVC 3 projektu do ASP.NET MVC 4
- 8. ASP.NET MVC 4 - Obsługa wyjątków nie działa
- 9. Zarządzanie użytkownikami za pomocą ASP.NET MVC 4
- 10. Testowanie jednostek ASP.Net MVC 4 aplikacje dokładnie
- 11. ASP.NET MVC 4 asynchroniczny kontroler oddzwaniania
- 12. ASP.NET MVC 4 AJAX Złożenie nie działa
- 13. ASP.NET MVC 4 ScriptBundle zwraca pusty
- 14. Przykładowy blog dla asp.net mvc 4
- 15. Warunkowa @ Scripts.Render w ASP.net MVC 4
- 16. Czy Simple Injector obsługuje MVC 4 ASP.NET Web API?
- 17. ASP.NET MVC 4 ViewModel z interfejsem podrzędnym
- 18. Jak używać jquery w asp.net mvc 4?
- 19. jQuery post array - ASP.Net MVC 4
- 20. Razor kompilatora ostrzegawcze/Błędy - ASP.NET MVC 4
- 21. ASP.NET MVC 4 Application Calling Remote WebAPI
- 22. ASP.NET MVC 4 trasa login/akcja problem
- 23. Czy środowisko ASP.NET MVC 3 może działać w witrynie sieci Web programu ASP.NET 3.5?
- 24. Czy wszystkie zespoły ASP.NET MVC 4 RC są rzeczywiście niezbędne do wdrożenia ASP ASP.NET WebAPI?
- 25. Czy środowisko ASP.NET obsługuje język C++?
- 26. Błąd JavaScript w ASP.NET MVC 4 Wiązanie
- 27. Ustawianie klucza obcego w ASP.NET MVC 4
- 28. ASP.NET MVC 4 - 301 Przekierowania w RouteConfig.cs
- 29. Lokalizacja w ASP.NET MVC 4 stosując App_GlobalResources
- 30. wiązkach Ładowanie w ASP.NET MVC 4
Podobnych pytań zadawano tutaj: http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp-net-mvc –
To jest wzmianka o składni ASPX. Używam maszynki Razor. Używam również najnowszej wersji MVC. – Mark13426