0

我正在处理我的 Web 应用程序的XSS(跨站点脚本)问题。该应用程序有许多接受用户输入的用户控件。

我遇到了这篇文章http://www.asp.net/whitepapers/request-validation

请您回答以下问题:

在应用程序级别(在 web.config 中)使用validateRequest="true"有什么缺点吗?

除了进行每个控件和进行 HTML 编码之外,有没有更好的方法来解决 XSS 问题?

提前致谢。

4

1 回答 1

1

最初想到的是以下内容:

如果您追溯添加validateRequest到站点,那么任何包含您已经捕获并存储在数据库中的恶意脚本的用户输入仍然是您的应用程序的漏洞,validateRequest不会在这里保护您,HTML 编码会。

在您的应用程序和 HTML 编码所有内容中耕耘可能会很痛苦,如果您真的很烦恼,那么这是一个必要的邪恶。黑客总是想出新的方法。如果你使用库,你将不得不等待更新来修补新漏洞,同时让你的网站容易受到攻击——我相信 HTML 编码是你抵御 XSS 攻击的最佳武器。

话虽如此,请快速阅读:

HTML Encoding 会阻止各种 XSS 攻击吗?

于 2013-11-05T11:34:23.033 回答