En las notas para el Paso 1 en el "How To: Prevent Cross-Site Scripting in ASP.NET" se afirma que no debe confiar en la validación de solicitud ASP.NET. Trátelo como una medida de precaución adicional además de su propia validación de entrada.¿Por qué ValidateRequest = "true" no es suficiente para la prevención de XSS?
¿Por qué no es suficiente?
Por un lado, los piratas informáticos siempre presentan nuevos ataques y nuevas formas de insertar XSS. El RequestValidation de ASP.NET solo se actualiza cuando se lanza una nueva versión de ASP.NET, por lo que si alguien presenta un nuevo ataque al día siguiente de una versión de ASP.NET, RequestValidation no lo detectará.
Esa (creo) es una de las razones por las que apareció el proyecto AntiXSS, por lo que puede tener un ciclo de lanzamiento más rápido.
Sólo dos consejos:
Su salida aplicación no sólo los datos que se introdujo el uso de los formularios de ASP.NET. Piense en servicios web, fuentes RSS, otras bases de datos, información extraída de cargas de usuarios, etc.
A veces es necesario deshabilitar la validación de solicitud predeterminada (efectiva pero excesivamente simple) porque necesita aceptar corchetes angulares en sus formularios. Piensa en un editor WYSIWYG.
+1 para la mención AntiXss, que todo el mundo debería estar usando. – slugster