Czy środowisko ASP.NET MVC 4 wymaga dodatkowej obsługi XSS

Program ASP.NET MVC 4 domyślnie ignoruje dane wejściowe HTML w wiadomościach pocztowych. Jeśli nie akceptuję jawnie HTML, czy jest jakiś kod, który muszę napisać, aby obronić moją witrynę przed atakami XSS? Nie będę używać [AllowHtml] ani [ValidateInput(false)]. Próbuję się dowiedzieć, czy powinienem się martwić atakami XSS, czy nie. Używam Razor jako mojego mechanizmu wyświetlania.Czy środowisko ASP.NET MVC 4 wymaga dodatkowej obsługi XSS

Źródło

2012-10-02 Mark13426

Podobnych pytań zadawano tutaj: http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp-net-mvc –

To jest wzmianka o składni ASPX. Używam maszynki Razor. Używam również najnowszej wersji MVC. – Mark13426

Znalazłem świetny wpis na blogu autorstwa Amir Ismail, który rozwiązuje wszystkie Twoje wątpliwości. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html

Podsumowując, co pisze. Żyletka jest kodowana domyślnie, chyba że użyto Html.Raw. Html.AntiForgeryToken() można użyć do utworzenia losowego tokena, który będzie chronił przed CSRF, ale wymaga akceptacji plików cookie.

Źródło

2012-10-02 17:51:08

Czy środowisko ASP.NET MVC 4 wymaga dodatkowej obsługi XSS

Odpowiedz

Powiązane problemy