Devrais-je utiliser le moteur d'exécution de la sécurité Anti-XSS dans ASP.NET MVC?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai lu des informations sur Anti-XSS Security Runtime Engine, qui semble être une bonne solution pour les formulaires Web car il inspecte les contrôles par réflexion et code automatiquement les données, le cas échéant. Cependant, comme je n'utilise pas vraiment les contrôles côté serveur dans ASP.NET MVC, cela ne semble pas être une solution viable pour ASP.NET MVC. Est-ce correct ou manque-t-il quelque chose?
La solution
Phil Haack a publié un article de blog intéressant ici http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx . Il suggère d’utiliser l’Anti-XSS associé à CAT.NET.
Autres conseils
Le moteur d'exécution de la sécurité Anti-XSS est un module HTTP principalement conçu pour mettre à jour des applications ASP.NET héritées. Si vous avez déjà écrit l'application ASP.NET MVC avec un nettoyage correct des données avec les assistants HTML intégrés (c.-à-d. Html.Encode ()), le moteur Anti-XSS n'ajoute rien de nouveau et nécessite une configuration supplémentaire listes) et la vérification des erreurs.
Dans l’ensemble, vous ne devriez pas vous fier au moteur Anti-XSS, surtout si vous vous fiez au contrôle explicite du moment où l’entrée est ou non au format HTML.
