【发布时间】:2018-11-14 22:15:25
【问题描述】:
我们对我们的一个应用程序进行了外部安全审计,结果发出了以下警告:
说明:Microsoft ASP.NET EnableViewStateMac 跨站脚本
关注:此应用程序很容易出现此漏洞,因为未能正确清理用户提供的输入,从而允许 攻击者进行跨站脚本攻击。
我找到了a bit of information 关于该问题的信息。主要是说:永远不要将此设置为 false。
我检查了我们的代码,没有 EnableViewStateMac - 在我们的解决方案中的任何地方设置,所以 AFAIK 这应该意味着我们的默认设置为 true,这很好。
还有其他可能出现这种情况吗?包括 EnableViewStateMac 的任何其他设置?
我们使用 .NET Framework 4.5
【问题讨论】:
-
您是否在各个 aspx 页面上检查过?不管我没记错,都是页面标签属性
-
我对解决方案的“EnableViewStateMac”进行了全文搜索。此外,我们并没有真正的 ASPX 页面,而只有 HTML(通过 MVC)