ASP.NET MVC 4 по умолчанию игнорирует ввод HTML в сообщении сообщения. Если я не принимаю явно HTML, есть ли какой-нибудь код, который мне нужно написать для защиты моего сайта от атак XSS? Я не буду использовать [AllowHtml] или [ValidateInput(false)]. Я просто пытаюсь выяснить, беспокоюсь ли я об атаках XSS или нет. Я использую Razor в качестве механизма просмотра.
ASP.NET MVC 4 требует дополнительной обработки XSS по умолчанию
Ответ 1
Я нашел отличное сообщение в блоге от Амира Исмаила, в котором рассматриваются все ваши проблемы. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
Подводя итог тому, что он пишет.
Razor кодируется по умолчанию, если не используется Html.Raw.
Html.AntiForgeryToken() может использоваться для создания случайного токена, который будет защищать от CSRF, но он требует, чтобы пользователь принимал файлы cookie.