¿Debo usar Anti-XSS Security Runtime Engine en ASP.NET MVC?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
He estado leyendo sobre Anti-XSS Security Runtime Engine y parece una buena solución para los formularios web porque inspecciona los controles a través de la reflexión y codifica los datos automáticamente cuando corresponde. Sin embargo, como realmente no uso los controles del lado del servidor en ASP.NET MVC, no parece ser una solución viable para ASP.NET MVC. ¿Es correcto o me falta algo?
Solución
Phil Haack tiene una publicación de blog interesante aquí http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx . Él sugiere usar Anti-XSS combinado con CAT.NET.
Otros consejos
El Anti-XSS Security Runtime Engine es un módulo HTTP diseñado principalmente para actualizar las aplicaciones ASP.NET heredadas. Si ya ha escrito la aplicación MVC de ASP.NET con la limpieza de datos adecuada con los ayudantes HTML integrados (es decir, Html.Encode ()), entonces el motor Anti-XSS no agrega nada nuevo y requiere una configuración adicional (para el blanco necesario) listas) y comprobación de errores.
En general, no debe confiar en el motor Anti-XSS, especialmente si confía en el control explícito de cuándo la entrada es y no se presenta como HTML.
