Должен ли я использовать Anti-XSS Security Runtime Engine в ASP.NET MVC?
-
05-07-2019 - |
Вопрос
Я читал об анти-XSS Security Runtime Engine, и он выглядит как хорошее решение для веб-форм, потому что он проверяет элементы управления с помощью отражения и автоматически кодирует данные, где это необходимо. Однако, поскольку я на самом деле не использую серверные элементы управления в ASP.NET MVC, он не представляется жизнеспособным решением для ASP.NET MVC. Это правильно или я что-то упустил?
Решение
У Фила Хаака есть интересное сообщение в блоге здесь http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx . Он предлагает использовать Anti-XSS в сочетании с CAT.NET.
Другие советы
Модуль защиты Anti-XSS Security - это модуль HTTP, предназначенный в основном для обновления устаревших приложений ASP.NET. Если вы уже написали приложение ASP.NET MVC с надлежащей очисткой данных с помощью встроенных помощников HTML (например, Html.Encode ()), то модуль Anti-XSS не добавляет ничего нового и требует дополнительной настройки (для списки) и проверка ошибок.
В общем, вам не следует полагаться на Anti-XSS Engine, особенно если вы полагаетесь на явный контроль того, когда ввод вводится и не отображается как HTML.