Trong các ghi chú cho Bước 1 trong các "How To: Prevent Cross-Site Scripting in ASP.NET" nó được tuyên bố rằng bạn nên "không dựa vào xác nhận yêu cầu ASP.NET. Hãy coi nó như là một biện pháp phòng ngừa thêm ngoài xác nhận đầu vào của riêng bạn."Tại sao ValidateRequest = "không đủ" cho phòng ngừa XSS?
Tại sao không đủ?
Đối với một điều, tin tặc luôn đưa ra các cuộc tấn công mới và cách chèn mới XSS. ASP.NET's RequestValidation chỉ được cập nhật khi một phiên bản mới của ASP.NET được phát hành, vì vậy nếu ai đó đến với một cuộc tấn công mới vào ngày sau khi một bản phát hành ASP.NET RequestValidation sẽ không bắt được nó.
Điều đó (tôi tin) là một trong những lý do khiến dự án AntiXSS xuất hiện, vì vậy nó có thể có chu kỳ phát hành nhanh hơn.
Chỉ hai gợi ý:
của bạn ra ứng dụng sức mạnh không chỉ dữ liệu đã được nhập bằng các hình thức ASP.NET của bạn. Nghĩ về dịch vụ web, nguồn cấp dữ liệu RSS, cơ sở dữ liệu khác, thông tin được trích xuất từ tải lên của người dùng, v.v.
Đôi khi cần phải xác thực yêu cầu mặc định (hiệu quả nhưng quá đơn giản) vì bạn cần chấp nhận dấu ngoặc nhọn trong biểu mẫu của mình. Hãy nghĩ đến trình soạn thảo WYSIWYG.
+1 để đề cập đến AntiXss, mọi người nên sử dụng. – slugster