¿Requiere ASP.NET MVC 4 manejo adicional de XSS de forma predeterminada

ASP.NET MVC 4 ignora por defecto la entrada de HTML en un mensaje de envío. Si no acepto HTML explícitamente, ¿hay algún código que deba escribir para defender mi sitio de los ataques XSS? No utilizaré [AllowHtml] o [ValidateInput(false)]. Solo estoy tratando de averiguar si debería preocuparme por los ataques XSS o no. Estoy usando Razor como mi motor de visualización.¿Requiere ASP.NET MVC 4 manejo adicional de XSS de forma predeterminada

Fuente

2012-10-02 Mark13426

Se hizo una pregunta similar aquí: http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp-net-mvc –

Eso es mencionar la sintaxis de ASPX. Estoy usando Razor. Además, estoy usando la última versión de MVC. – Mark13426

Encontré una publicación de blog excelente por Amir Ismail que responde a todas sus inquietudes. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html

Para resumir lo que escribe. Razor está codificado por defecto a menos que se use Html.Raw. Html.AntiForgeryToken() se puede usar para crear un token aleatorio que protegerá contra CSRF; sin embargo, requiere que el usuario acepte cookies.

Fuente

2012-10-02 17:51:08

¿Requiere ASP.NET MVC 4 manejo adicional de XSS de forma predeterminada

Respuesta

Cuestiones relacionadas