Web アプリを XSS の脆弱性から可能な限り保護しようとしていますが、Microsoft の AntiXSS ライブラリを使用してすべての入出力をエンコードする方法を理解する前に、まず何かを試してみることにしました。
私がしたことは、Web サービス クラスのすべてのメソッドを取り除くことでした。したがって、次のようになります。
namespace ProjectName.Web.Services
{
/// <summary>
/// Summary description for AJAXService
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
[System.ComponentModel.ToolboxItem(false)]
// To allow this Web Service to be called from script, using ASP.NET AJAX,
// uncomment the following line.
[System.Web.Script.Services.ScriptService]
public class AJAXService : System.Web.Services.WebService
{
//
}
}
スキャンで依然として AJAXService が XSS に対して脆弱であると表示されるのはなぜですか? 設定する必要があるプロパティや属性、または非表示のデフォルト メソッドはありますか? ASMX は純粋に AJAX 用であり、私が慣れ親しんでいるものであるため、私は ASMX を使用しています。
(スキャンに使用したツールはAcunetixです)