1. Trang chủ
  2. Câu hỏi và trả lời
  3. ASP.NET MVC 4 có yêu cầu xử lý XSS thêm không theo mặc định

ASP.NET MVC 4 có yêu cầu xử lý XSS thêm không theo mặc định

2012-10-02 28 views
13

ASP.NET MVC 4 theo mặc định bỏ qua đầu vào HTML trong một thông điệp bài viết. Nếu tôi không chấp nhận HTML một cách rõ ràng, có bất kỳ mã nào tôi cần viết để bảo vệ trang web của tôi chống lại các cuộc tấn công XSS không? Tôi sẽ không sử dụng [AllowHtml] hoặc [ValidateInput(false)]. Tôi chỉ cố gắng tìm hiểu xem tôi có nên lo lắng về các cuộc tấn công XSS hay không. Tôi đang sử dụng Razor làm công cụ xem của mình.ASP.NET MVC 4 có yêu cầu xử lý XSS thêm không theo mặc định

Nguồn

2012-10-02 Mark13426

+0

Một câu hỏi tương tự đã được hỏi tại đây: http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp-net-mvc –

+0

Đó là đề cập đến cú pháp ASPX. Tôi đang sử dụng Razor. Ngoài ra, tôi đang sử dụng phiên bản mới nhất của MVC. – Mark13426

Trả lời

12

Tôi đã tìm thấy một bài đăng trên blog tuyệt vời bằng cách Amir Ismail giải quyết tất cả các mối quan tâm của bạn. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html

Để tóm tắt những gì anh ấy viết. Dao cạo được mã hóa mặc định trừ khi sử dụng Html.Raw. Html.AntiForgeryToken() có thể được sử dụng để tạo một mã thông báo ngẫu nhiên sẽ bảo vệ chống lại CSRF tuy nhiên nó yêu cầu người dùng chấp nhận cookie.

Nguồn

2012-10-02 17:51:08

Các vấn đề liên quan

 Các vấn đề liên quan