يجب أن تستخدم محرك مكافحة XSS وقت التشغيل الأمن في ASP.NET MVC؟
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ولقد تم القراءة على مكافحة XSS الأمن محرك وقت التشغيل، ويبدو وكأنه حل لطيفة لنماذج الويب لأنه يتفقد الضوابط عن طريق التفكير وتلقائيا يشفر البيانات عند الاقتضاء. ولكن لأنني لا حقا استخدام عناصر التحكم من جانب الخادم في ASP.NET MVC، فإنه لا يبدو أن هناك حلا قابلا للتطبيق لASP.NET MVC. هل هذا صحيح أم أنا في عداد المفقودين شيء؟
المحلول
وفيل هاك لديه بلوق وظيفة مثيرة للاهتمام هنا <لأ href = "http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx" يختلط = "نوفولو noreferrer" > http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx . ويقترح استخدام مكافحة XSS جنبا إلى جنب مع CAT.NET.
نصائح أخرى
وومكافحة XSS الأمن محرك وقت التشغيل هو وحدة HTTP تهدف في المقام الأول حول تحديث تطبيقات ASP.NET القديمة. إذا كنت قد كتبت بالفعل تطبيق ASP.NET MVC مع تنقية البيانات السليم مع بني في المساعدون HTML (أي Html.Encode ())، ثم-XSS مكافحة محرك يضيف شيئا جديدا، ويتطلب تكوين إضافي (لالضرورة وايت القوائم) والتحقق من الاخطاء.
وعلى كل، يجب أن لا تعتمد على محرك مكافحة XSS، وخاصة إذا كنت تعتمد على سيطرة واضحة من عند الإدخال هو وليس كما يتم تقديم HTML.
