默认情况下,ASP.NET MVC 4 是否需要额外的 XSS 处理

【问题标题】:Does ASP.NET MVC 4 require extra XSS handling by default默认情况下,ASP.NET MVC 4 是否需要额外的 XSS 处理
【发布时间】:2012-10-02 14:11:53
【问题描述】:

默认情况下,ASP.NET MVC 4 会忽略发布消息中的 HTML 输入。如果我没有明确接受 HTML,是否需要编写任何代码来保护我的网站免受 XSS 攻击?我不会使用[AllowHtml][ValidateInput(false)]。我只是想知道我是否应该担心 XSS 攻击。我使用 Razor 作为我的视图引擎。

【问题讨论】:

标签: asp.net-mvc razor xss


【解决方案1】:

我发现 Amir Ismail 的一篇出色的博客文章解决了您的所有问题。 http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html

总结他写的东西。 除非使用 Html.Raw,否则 Razor 是默认编码的。 Html.AntiForgeryToken() 可用于创建一个随机令牌以防止 CSRF,但它要求用户接受 cookie。

【讨论】:

  • 提供的链接已损坏!
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2023-03-03
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2011-03-25
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode