ASP.NET MVC 4 по умолчанию игнорирует ввод HTML в сообщении сообщения. Если я не принимаю явно HTML, есть ли какой-нибудь код, который мне нужно написать для защиты моего сайта от атак XSS? Я не буду использовать [AllowHtml]
или [ValidateInput(false)]
. Я просто пытаюсь выяснить, беспокоюсь ли я об атаках XSS или нет. Я использую Razor в качестве механизма просмотра.
ASP.NET MVC 4 требует дополнительной обработки XSS по умолчанию
Ответ 1
Я нашел отличное сообщение в блоге от Амира Исмаила, в котором рассматриваются все ваши проблемы. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
Подводя итог тому, что он пишет.
Razor кодируется по умолчанию, если не используется Html.Raw
.
Html.AntiForgeryToken()
может использоваться для создания случайного токена, который будет защищать от CSRF, но он требует, чтобы пользователь принимал файлы cookie.