ASP.NET MVC 4 ViewModel - XSS可维护性？

Question

我目前正在开发一个ASP.NET MVC 4网站，并且有一个关于跨站点脚本(XSS)与底层ViewModel的漏洞有关的问题。

我知道ASP.NET确实提供了一些请求验证，但是我还需要做些什么来防止XSS攻击吗？我是否需要使用AntiXSS来净化ViewModel的每个属性，一旦它被回发到服务器上？

我确实尝试过在我的一个文本框输入中输入警告(“Hello”)，ASP.NET正确地捕捉到了它的潜在危险，但我只想确保我没有遗漏其他的东西。

谢谢你的建议。

Answer 1

默认情况下，Razor将对所有东西进行santize，除了@Html.Raw()中的任何东西。

阅读此文章以获得更多关于如何防止跨站点请求伪造的见解。