Devo usare il motore runtime di sicurezza Anti-XSS in ASP.NET MVC?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho letto su Anti-XSS Security Runtime Engine e sembra una buona soluzione per i moduli web perché ispeziona i controlli tramite la riflessione e codifica automaticamente i dati dove appropriato. Tuttavia, poiché non utilizzo realmente i controlli lato server in ASP.NET MVC, non sembra essere una soluzione praticabile per ASP.NET MVC. È corretto o mi sto perdendo qualcosa?
Soluzione
Phil Haack ha un post sul blog interessante qui http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx . Suggerisce di usare Anti-XSS combinato con CAT.NET.
Altri suggerimenti
Anti-XSS Security Runtime Engine è un modulo HTTP progettato principalmente per l'aggiornamento di applicazioni ASP.NET legacy. Se hai già scritto l'applicazione ASP.NET MVC con un'adeguata pulizia dei dati con gli Helpers HTML integrati (ad es. Html.Encode ()), allora il motore Anti-XSS non aggiunge nulla di nuovo e richiede una configurazione aggiuntiva (per il necessario bianco- elenchi) e controllo degli errori.
Tutto sommato, non si dovrebbe fare affidamento sul motore Anti-XSS, soprattutto se si fa affidamento sul controllo esplicito di quando l'input è e non viene eseguito il rendering come HTML.
