默认情况下,ASP.NET MVC 4 会忽略帖子消息中的 HTML 输入。如果我没有明确接受 HTML,是否需要编写任何代码来保护我的网站免受 XSS 攻击?我不会使用[AllowHtml]
or [ValidateInput(false)]
。我只是想知道我是否应该担心 XSS 攻击。我使用 Razor 作为我的视图引擎。
我发现了一篇很棒的博客文章阿米尔·伊斯梅尔 https://stackoverflow.com/users/769831/amir-ismail这解决了您所有的担忧。http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
总结他所写的内容。
Razor 是默认编码的,除非Html.Raw
用来。Html.AntiForgeryToken()
可用于创建一个随机令牌,以防止 CSRF,但它要求用户接受 cookie。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)