我应该在ASP.NET MVC中使用Anti-XSS Security Runtime Engine吗?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我一直在阅读Anti-XSS Security Runtime Engine,它看起来像是一个很好的Web表单解决方案,因为它通过反射检查控件并在适当的时候自动编码数据。但是,由于我没有真正使用ASP.NET MVC中的服务器端控件,因此它似乎不是ASP.NET MVC的可行解决方案。这是正确的还是我错过了什么?
解决方案
Phil Haack在这里有一篇有趣的博客文章 http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx 。他建议使用Anti-XSS结合CAT.NET。
其他提示
Anti-XSS Security Runtime Engine是一个HTTP模块,主要用于更新旧版ASP.NET应用程序。如果您已经使用内置的HTML Helpers(即Html.Encode())编写了适当的数据清理ASP.NET MVC应用程序,那么Anti-XSS Engine不会增加任何新内容,并且需要额外的配置(对于必要的白色 - 列表)和错误检查。
总而言之,您不应该依赖Anti-XSS Engine,特别是如果您依赖显式控制何时输入和不呈现为HTML。
不隶属于 StackOverflow
