在 asp.net mvc 中清理 xss

Question

在 asp.net mvc 中清理用户输入而不抛出“潜在危险的 request.form”异常并仍然防止包含 dangerous 标签的 post 请求的 xss 攻击的最佳方法是什么。

编辑： 我尝试了 AntiXss 并创建了自定义编码器，它在运行时对所有提交的值进行编码，但问题是它仍然抛出异常。实际上我并没有弄清楚我可以确保请求不包含任何危险的确切位置（哪个事件），如果它包含危险的内容，我可以将其重定向到另一个 Action 而不是抛出异常。

Answer 1

禁用自动表单检查，并使用Microsoft Anti-Cross Site Scripting Library 手动检查每个相关字段是否存在 XSS。

当然，在 MVC 中，一些检查是开箱即用的。例如，如果您的操作方法包含一个名为 productID 的 int 参数，并且用户提交了一个带有 productID 字段的表单，它会由 MVC 的模型绑定器机制自动填充，并且您会得到一个可以依赖的“强” int。里面没有文字，没有问题。 因此，您只需检查基于文本的字段。