Mar*_*426 13 xss asp.net-mvc razor
默认情况下,ASP.NET MVC 4会忽略发布消息中的HTML输入.如果我没有明确接受HTML,是否需要编写任何代码来保护我的网站免受XSS攻击?我不会使用[AllowHtml]或[ValidateInput(false)].我只是想知道我是否应该担心XSS攻击.我正在使用Razor作为我的视图引擎.
Ed *_*eau 12
我发现Amir Ismail的一篇优秀博客文章解决了你所有的问题.http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
总结一下他的写作.除非Html.Raw使用,否则Razor将被编码为默认值.
Html.AntiForgeryToken()可以用来创建一个可以防止CSRF的随机令牌,但它需要用户接受cookie.
| 归档时间: |
|
| 查看次数: |
11186 次 |
| 最近记录: |