ASP.NET MVCでAnti-XSS Security Runtime Engineを使用する必要がありますか?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
Anti-XSS Security Runtime Engineを読んでいますが、リフレクションを介してコントロールを検査し、必要に応じてデータを自動的にエンコードするため、Webフォームの素晴らしいソリューションのようです。ただし、ASP.NET MVCでサーバー側のコントロールを実際に使用していないため、ASP.NET MVCの実行可能なソリューションではないようです。これは正しいですか、何か不足していますか?
解決
Phil Haackには興味深いブログ記事があります http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx 。彼は、CAT.NETと組み合わせたAnti-XSSの使用を提案しています。
他のヒント
Anti-XSS Security Runtime Engineは、主にレガシーASP.NETアプリケーションの更新を中心に設計されたHTTPモジュールです。組み込みのHTMLヘルパー(つまりHtml.Encode())を使用して適切なデータクレンジングでASP.NET MVCアプリケーションを既に作成している場合、Anti-XSS Engineは新しいものを追加せず、追加の構成を必要とします(必要なホワイトリスト)およびエラーチェック。
全体として、特に入力がHTMLとしてレンダリングされるかどうかの明示的な制御に依存している場合は、Anti-XSS Engineに依存しないでください。
所属していません StackOverflow
