0

Web アプリを XSS の脆弱性から可能な限り保護しようとしていますが、Microsoft の AntiXSS ライブラリを使用してすべての入出力をエンコードする方法を理解する前に、まず何かを試してみることにしました。

私がしたことは、Web サービス クラスのすべてのメソッドを取り除くことでした。したがって、次のようになります。

namespace ProjectName.Web.Services
{
    /// <summary>
    /// Summary description for AJAXService
    /// </summary>
    [WebService(Namespace = "http://tempuri.org/")]
    [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
    [System.ComponentModel.ToolboxItem(false)]
    // To allow this Web Service to be called from script, using ASP.NET AJAX,
    // uncomment the following line. 
    [System.Web.Script.Services.ScriptService]
    public class AJAXService : System.Web.Services.WebService
    {
        //
    }
}

スキャンで依然として AJAXService が XSS に対して脆弱であると表示されるのはなぜですか? 設定する必要があるプロパティや属性、または非表示のデフォルト メソッドはありますか? ASMX は純粋に AJAX 用であり、私が慣れ親しんでいるものであるため、私は ASMX を使用しています。

(スキャンに使用したツールはAcunetixです)

4

0 に答える 0