2010-04-01 18 views

Respuesta

2

Por un lado, los piratas informáticos siempre presentan nuevos ataques y nuevas formas de insertar XSS. El RequestValidation de ASP.NET solo se actualiza cuando se lanza una nueva versión de ASP.NET, por lo que si alguien presenta un nuevo ataque al día siguiente de una versión de ASP.NET, RequestValidation no lo detectará.

Esa (creo) es una de las razones por las que apareció el proyecto AntiXSS, por lo que puede tener un ciclo de lanzamiento más rápido.

+0

+1 para la mención AntiXss, que todo el mundo debería estar usando. – slugster

2

Sólo dos consejos:

  • Su salida aplicación no sólo los datos que se introdujo el uso de los formularios de ASP.NET. Piense en servicios web, fuentes RSS, otras bases de datos, información extraída de cargas de usuarios, etc.

  • A veces es necesario deshabilitar la validación de solicitud predeterminada (efectiva pero excesivamente simple) porque necesita aceptar corchetes angulares en sus formularios. Piensa en un editor WYSIWYG.

Cuestiones relacionadas