Devo usar o mecanismo de tempo de execução do Anti-XSS Security no ASP.NET MVC?
https://stackoverflow.com/questions/1003736
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho lido o mecanismo de tempo de execução do Anti-XSS Security e parece uma boa solução para formulários da Web porque inspeciona controles por meio de reflexão e codifica automaticamente dados, quando apropriado. No entanto, como eu realmente não uso os controles laterais do servidor no ASP.NET MVC, ele não parece ser uma solução viável para o ASP.NET MVC. Isso está correto ou estou perdendo alguma coisa?
Solução
Phil Haack tem um post interessante do blog aqui http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx. Ele sugere o uso de anti-xss combinado com o cat.net.
Outras dicas
O mecanismo de tempo de execução do Anti-XSS Security é um módulo HTTP projetado principalmente para atualizar os aplicativos Legacy ASP.NET. Se você já escreveu o aplicativo ASP.NET MVC com a limpeza adequada de dados com os ajudantes de HTML embutidos (ou seja, html.encode ()), o mecanismo anti-xSS não adiciona nada de novo e requer configuração adicional (para o branco necessário- listas) e verificação de erros.
Em suma, você não deve confiar no mecanismo anti-xss, especialmente se confiar no controle explícito de quando a entrada é e não for renderizada como HTML.
