我一直在阅读 Anti-XSS 安全运行时引擎,它看起来是一个很好的 Web 表单解决方案,因为它通过反射检查控件并在适当的地方自动编码数据。但是,由于我并没有真正在 ASP.NET MVC 中使用服务器端控件,因此它似乎不是 ASP.NET MVC 的可行解决方案。这是正确的还是我错过了什么?
问问题
5748 次
2 回答
8
Anti-XSS 安全运行时引擎是一个 HTTP 模块,主要围绕更新旧版 ASP.NET 应用程序而设计。如果您已经使用内置的 HTML 帮助程序(即 Html.Encode())编写了具有适当数据清理的 ASP.NET MVC 应用程序,那么 Anti-XSS 引擎不会添加任何新内容,并且需要额外的配置(对于必要的白-列表)和错误检查。
总而言之,您不应该依赖 Anti-XSS 引擎,尤其是当您依赖于对输入何时呈现和不呈现为 HTML 的显式控制时。
于 2009-06-18T07:53:32.413 回答
3
Phil Haack 在这里有一篇有趣的博客文章http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx。他建议将 Anti-XSS 与 CAT.NET 结合使用。
于 2009-06-18T11:57:13.060 回答