非常に大規模な .Net 4.0 プロジェクトを確認し、XSS 攻撃を防ぐためにリファクタリングする必要があります。私が最初にしたことは、サイトをオンにrequestValidationすることでした。グローバルレベルで他にできることはありますか、それとも、すべてのページをトロールして、入力を検証し、出力を HTML エンコードするケースになるのでしょうか。
多くのページがあり、おそらく 300 の従来の ASP ページがまだ使用されています。
HtmlEncode() は安全に使用できますか、または Microsoft の AntiXSS パッケージをインストールする必要がありますか。