默认情况下,ASP.NET MVC 4 会忽略发布消息中的 HTML 输入。如果我没有明确接受 HTML,是否需要编写任何代码来保护我的网站免受 XSS 攻击?我不会使用[AllowHtml]or [ValidateInput(false)]。我只是想知道我是否应该担心 XSS 攻击。我使用 Razor 作为我的视图引擎。
问问题
11359 次
1 回答
12
我发现Amir Ismail的一篇出色的博客文章解决了您的所有问题。http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
总结他写的东西。除非使用 Razor,否则默认编码Html.Raw。
Html.AntiForgeryToken()可用于创建一个随机令牌以防止 CSRF,但它要求用户接受 cookie。
于 2012-10-02T17:51:08.977 回答