Sollte ich die Anti-XSS-Security Runtime Engine in ASP.NET MVC verwenden?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe mich über die Anti-XSS-Sicherheits-Laufzeit-Engine gelesen und es sieht nach einer schönen Lösung für Webformulare aus, da sie Steuerelemente durch Reflexion inspiziert und gegebenenfalls automatisch Daten codiert. Da ich jedoch die Server -Seitensteuerung in ASP.NET MVC nicht wirklich verwende, scheint es keine praktikable Lösung für ASP.NET MVC zu sein. Ist das richtig oder fehlt mir etwas?
Lösung
Phil Haack hat hier einen interessanten Blog -Beitrag http://haacked.com/archive/2009/02/07/take-charch-of-your-security.aspx. Er schlägt vor, Anti-XSS in Kombination mit Cat.net zu verwenden.
Andere Tipps
Die Anti-XSS-Security Runtime Engine ist ein HTTP-Modul, das hauptsächlich zur Aktualisierung von Legacy ASP.NET-Anwendungen entwickelt wurde. Wenn Sie die ASP.NET-MVC-Anwendung bereits mit der richtigen Datenreinigung mit den integrierten HTML-Helpern (dh HTML.Codode ()) geschrieben haben Listen) und Fehlerprüfung.
Alles in allem sollten Sie sich nicht auf den Anti-XSS-Motor verlassen, insbesondere wenn Sie sich auf die explizite Kontrolle der Eingabe verlassen, wenn die Eingabe nicht als HTML gerendert wird.
