我们有一个 ASP.NET MVC 站点,用于UrlHelper.Action生成发送到客户端的 URL。我们已经使用 Veracode 安全平台扫描了我们的应用程序。它发现了一个问题:
网页中与脚本相关的 HTML 标签的不当中和(基本 XSS)
受污染的数据源自之前对 system_web_mvc_dll.System.Web.Mvc.UrlHelper.Action 的调用。
我们的 URL 不使用可能来自客户端并被污染的模型状态值。他们都很直截了当。
UrlHelper 是否存在任何漏洞或确保其生成的 URL 不允许 XSS 注入的最佳实践?