Est-ce que ASP.NET MVC 4 nécessite une gestion XSS supplémentaire par défaut?
ASP.NET MVC 4 ignore par défaut d'entrée HTML dans un message. Si je n'ai pas explicitement accepter HTML, est-il un code que j'ai besoin d'écrire pour défendre mon site contre les attaques XSS? Je ne vais pas utiliser [AllowHtml]
ou [ValidateInput(false)]
. J'essaie juste de savoir si je dois me préoccuper des attaques XSS ou pas. Je suis en utilisant le Rasoir que mon point de vue moteur.
source d'informationauteur Mark13426
Vous devez vous connecter pour publier un commentaire.
J'ai trouvé un excellent article de blog par Amir Ismail qui répond à toutes vos préoccupations. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
Pour résumer ce qu'il écrit.
Le rasoir est codée par défaut, à moins que
Html.Raw
est utilisé.Html.AntiForgeryToken()
peut être utilisé pour créer un jeton aléatoire qui permettra de protéger contre les CSRF cependant, il oblige l'utilisateur à accepter les cookies.