13
默认情况下,ASP.NET MVC 4会忽略发布消息中的HTML输入。如果我没有明确接受HTML,是否需要编写任何代码来保护我的网站免受XSS攻击?我将不会使用[AllowHtml]
或[ValidateInput(false)]
。我只是想知道我是否应该担心XSS攻击。我使用Razor作为我的视图引擎。默认情况下,ASP.NET MVC 4是否需要额外的XSS处理
默认情况下,ASP.NET MVC 4会忽略发布消息中的HTML输入。如果我没有明确接受HTML,是否需要编写任何代码来保护我的网站免受XSS攻击?我将不会使用[AllowHtml]
或[ValidateInput(false)]
。我只是想知道我是否应该担心XSS攻击。我使用Razor作为我的视图引擎。默认情况下,ASP.NET MVC 4是否需要额外的XSS处理
我发现了一篇优秀的博文Amir Ismail,它解决了您的所有问题。 http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
总结他写的内容。 除非使用Html.Raw
,否则剃刀编码为默认值。 Html.AntiForgeryToken()
可用于创建一个随机令牌,它将防止CSRF,但它需要用户接受cookie。
在这里提出了一个类似的问题:http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp-net-mvc –
这就是所谓的ASPX语法。我正在使用剃刀。另外,我正在使用最新版本的MVC。 – Mark13426