ASP.NET MVC에서 Anti-XSS 보안 런타임 엔진을 사용해야합니까?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
Anti-XSS 보안 런타임 엔진을 읽었으며 리플렉션을 통해 컨트롤을 검사하고 적절한 곳에 데이터를 자동으로 인코딩하기 때문에 웹 양식에 대한 훌륭한 솔루션처럼 보입니다. 그러나 ASP.NET MVC에서 서버 측 컨트롤을 실제로 사용하지 않기 때문에 ASP.NET MVC에 대한 실행 가능한 솔루션이 아닌 것 같습니다. 이게 맞습니까 아니면 내가 뭔가를 놓치고 있습니까?
해결책
Phil Haack에는 여기에 흥미로운 블로그 게시물이 있습니다 http://haacked.com/archive/2009/02/07/take-sharge-of-yourecurity.aspx. 그는 cat.net과 결합 된 Anti-XSS를 사용하는 것을 제안합니다.
다른 팁
Anti-XSS Security Runtime Engine은 레거시 ASP.NET 애플리케이션을 업데이트하기 위해 주로 설계된 HTTP 모듈입니다. 내장 된 HTML 헬퍼 (예 : html.encode ())를 사용하여 적절한 데이터 정리로 ASP.NET MVC 응용 프로그램을 이미 작성한 경우 AntI-XSS 엔진에는 새로운 기능이 추가되지 않으며 추가 구성이 필요합니다 (필요한 흰색에 대한 추가 구성이 필요합니다. 목록) 및 오류 확인.
대체로, 당신은 특히 입력이 HTML로 렌더링되는 시점에 대한 명시 적 제어에 의존하는 경우, XSS 엔진에 의존해서는 안됩니다.
제휴하지 않습니다 StackOverflow
