那些遇到过的问题

为什么验证请求取自ASP.net MVC?

ale*_*mac 5 xss asp.net-mvc

在标准的ASP.net应用程序中,ASP.net提供了一些针对XSS攻击的保护,如果有人尝试,则使用validateRequest投掷检测危险的输入错误.这个功能似乎已经从MVC中取出了任何想法为什么?

Sru*_*uly 7

我知道这个问题已经过时但我认为无论如何我都能回答它.

有一个ValidateInput操作过滤器属性,可以添加到操作中.

[ValidateInput(true)]
public ActionResult Foo()
{

}
Run Code Online (Sandbox Code Playgroud)

您还可以在模型属性上使用AllowHtml属性

public class MyModel
{
    public Guid ID { get; set; }

    [AllowHtml]
    public string SomeStringValue { get; set; }
}
Run Code Online (Sandbox Code Playgroud)

Tim*_*uri 4

这是一条很难跨越的线。您的 Web 应用程序只是“应该”那样的 RESTful Web 资源吗?或者说它正在尝试做更多事情。接下来您知道您有 100 个隐藏输入字段:__VIEWSTATE、__EVENTTARGET、__EVENTARGUMENT 等。

如您所知,您仍然可以在 MVC 中防止 XSS 攻击。只要谷歌一下就能看到几个例子。但原因基本上是 MVC 是一种不同的、“更干净”类型的 Web 应用程序。

编辑:我不知道我上面说的是否清楚。但我们的想法是,MVC 不会尝试超越其本身(就像 ASP.NET 所做的那样)。他们都有自己的优点和理由。

归档时间:

查看次数:

1799 次

最近记录:

13 年,6 月 前
相关归档
MVC和Razor中的Html.TextboxFor和Html.EditorFor之间的差异 163
使用Razor声明性视图中的MVC HtmlHelper扩展 121
使用"RedirectToAction"从控制器重定向到哈希 84
存储/分配经过身份验证的用户的角色 54
如何为异常需求自定义ASP.NET Web API AuthorizeAttribute 35
在ASP.NET MVC Razor View中将class属性设置为Html.EditorFor 31
MVC和Url.Action 9
Password.SignInAsync成功后,User.Identity.IsAuthenticated始终为false 8
已为此应用程序配置了存储机制 7
HTML5 的 contenteditable 属性是否应该是 XSS 安全的? 6
难疑归档
Git获取远程分支 2088
将字符串转换为datetime 2035
查找当前目录和文件的目录 2007
使用Git下载特定标签 1892
Bower和npm有什么区别? 1723
确定整数平方根是否为整数的最快方法 1403
将零填充到字符串的最好方法 1309
如何在Android应用程序中的活动之间传递数据? 1293
"无法找到或加载主类"是什么意思? 1277
有条件地申请课程的最佳方式是什么? 1172