13
默认情况下,ASP.NET MVC 4会忽略发布消息中的HTML输入。如果我没有明确接受HTML,是否需要编写任何代码来保护我的网站免受XSS攻击?我将不会使用[AllowHtml]或[ValidateInput(false)]。我只是想知道我是否应该担心XSS攻击。我使用Razor作为我的视图引擎。默认情况下,ASP.NET MVC 4是否需要额外的XSS处理
A
回答
12
我发现了一篇优秀的博文Amir Ismail,它解决了您的所有问题。 http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
总结他写的内容。 除非使用Html.Raw,否则剃刀编码为默认值。 Html.AntiForgeryToken()可用于创建一个随机令牌,它将防止CSRF,但它需要用户接受cookie。
相关问题
- 1. Java中的字节默认情况下需要4个字节?
- 2. ,async:默认情况下是否为假?
- 3. 默认情况下,Constexpr lambda?
- 4. 在/ then语句的情况下,布尔值是否需要额外的语法?
- 5. 默认情况下,PDO是否总是使用模拟的预处理语句?
- 6. WCF 4:默认情况下,WCF服务
- 7. simpleGrid是否需要额外下载?
- 8. 默认情况下,asp.net中是否提供了superwebsocket?
- 9. 默认情况下restlet是否添加用户代理标头?
- 10. 默认情况下,在asp.net MVC2
- 11. 为什么在这种情况下需要额外的检查?
- 12. 默认情况下,WMIPRVSE需要在网络服务下运行
- 13. 默认情况下,ASP.NET MVC 3包含命名空间System.ComponentModel.DataAnnotations
- 14. 是必需的默认情况
- 15. System.Drawing和System.EnterpriseServices为什么在默认情况下asp.net mvc 2
- 16. 产量和默认情况||不输出默认情况下
- 17. 有效的Java异常处理 - 是否真的需要所有情况下?
- 18. 在这种情况下是否需要使用外键?
- 19. 简单的XML框架:默认情况下不需要
- 20. 稳定的变化需要在默认情况下
- 21. 默认情况下是GLfloat还是GLdouble?
- 22. 在默认情况下
- 23. ,默认情况下是安全的?
- 24. 默认情况下修改默认命令:默认命令为
- 25. 我是否需要处理以下代码中的任何错误情况?
- 26. perl默认情况下的XML处理模块
- 27. 引导需要额外的路线中的Kohana默认情况下不规则抓到控制器3.2
- 28. 默认情况下,classpath中的当前路径是否是“。”?
- 29. 默认情况下,法国
- 30. NHAML是否需要ASP.NET MVC?
在这里提出了一个类似的问题:http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp-net-mvc –
这就是所谓的ASPX语法。我正在使用剃刀。另外,我正在使用最新版本的MVC。 – Mark13426