Anti-XSS Security Runtime Engine について読んでいますが、リフレクションを介してコントロールを検査し、必要に応じてデータを自動的にエンコードするため、Web フォームの優れたソリューションのように見えます。ただし、ASP.NET MVC でサーバー側のコントロールを実際に使用していないため、ASP.NET MVC の実行可能なソリューションではないようです。これは正しいですか、何か不足していますか?
5748 次
2 に答える
8
Anti-XSS Security Runtime Engineは、主にレガシーASP.NETアプリケーションの更新を中心に設計されたHTTPモジュールです。組み込みのHTMLヘルパー(つまりHtml.Encode())を使用して適切なデータクレンジングを使用してASP.NET MVCアプリケーションを既に作成している場合、Anti-XSSエンジンは新しいものを何も追加せず、追加の構成が必要です(必要なホワイトリストの場合-リスト)およびエラーチェック。
全体として、特に入力がHTMLとしてレンダリングされる場合とされない場合の明示的な制御に依存する場合は、Anti-XSSエンジンに依存しないでください。
于 2009-06-18T07:53:32.413 に答える
3
Phil Haackには、興味深いブログ投稿がありますhttp://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx。彼は、CAT.NETと組み合わせてAnti-XSSを使用することを提案しています。
于 2009-06-18T11:57:13.060 に答える