默认情况下,ASP.NET MVC 4是否需要额外的XSS处理?
默认情况下,ASP.NET MVC 4是否需要额外的XSS处理?
提问于 2012-10-02 22:11:54
默认情况下,HTMLMVC4会忽略post消息中的ASP.NET输入。如果我不明确地接受HTML,我需要编写什么代码来保护我的站点免受XSS攻击吗?我不会使用[AllowHtml]或[ValidateInput(false)]。我只是想知道我是否应该担心XSS攻击。我使用Razor作为我的视图引擎。
回答 1
Stack Overflow用户
回答已采纳
发布于 2012-10-03 01:51:09
我发现了Amir Ismail的一篇很好的博客文章,它解决了你所有的担忧。http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
总结一下他写的东西。除非使用Html.Raw,否则默认编码为Razor。Html.AntiForgeryToken()可用于创建一个随机令牌,该令牌将保护用户免受CSRF攻击,但它要求用户接受cookies。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/12691958
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号