c# - 如何使用 MVC 3 防止跨站点脚本 XSS

Question

可能重复：
如何避免 ASP.Net (MVC) 中的 XSS 漏洞？

嗨，我需要创建一个留言簿，用户可以在其中添加他们的评论并在页面上显示主题而无需审核。

我在 C# 中使用 Asp.Net MVC 3。

• 你能给我指出一些技术吗？谢谢

谢谢你的时间。

PS我正在使用剃须刀

Answer 1

只需确保所有用户生成的内容在将其写入浏览器之前都是 HTML 编码的，就可以了。Razor 视图引擎默认执行此操作......实际上使用 Razor 很难解决这个问题。

所以：

@"<script>badness</script>"

在 Razor 中将呈现为 HTML

<script>badness%lt;/script>

在 ASP.NET 视图引擎中实现相同的使用<%:expression%>，而不是<%=expression%>

<%:"<script>badness</script>"%>

Answer 2

You could you the AntiXSS library. This is mentioned by:

• http://weblogs.asp.net/jgalloway/archive/2011/04/28/using-antixss-4-1-beta-as-the-default-encoder-in-asp-net.aspx
• http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx