ASP.NET MVC 4は、デフォルトで、投稿メッセージのHTML入力を無視します。HTMLを明示的に受け入れない場合、XSS攻撃からサイトを守るために作成する必要のあるコードはありますか?[AllowHtml]またはを使用しません[ValidateInput(false)]。XSS攻撃について心配する必要があるかどうかを調べようとしています。ビューエンジンとしてRazorを使用しています。
11359 次
1 に答える
12
私はあなたの懸念のすべてに対処するAmirIsmailによる素晴らしいブログ投稿を見つけました。http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
彼が書いたものを要約する。使用されない限り、RazorはデフォルトでエンコードされますHtml.Raw。
Html.AntiForgeryToken()CSRFから保護するランダムトークンを作成するために使用できますが、ユーザーはCookieを受け入れる必要があります。
于 2012-10-02T17:51:08.977 に答える