Защищает ли приложение ASP.NET от межсайтовых сценариев по умолчанию? Я читал, что в файле machine.config есть атрибут, который включен по умолчанию, и это защищает от межсайтовых сценариев? Это правда?
Межсайтовый скриптинг и ASP.NET
comment
по умолчанию вы не можете отправить скрипт, такой как тег, в форму ASP.NET, в MVC каждый вывод получает кодировку HTML перед печатью клиенту, поэтому ответ да
- person AMember   schedule 06.07.2013
comment
Спасибо :) Это то, что я хотел услышать :) Значит, приложение ASP.NET по умолчанию автоматически защищает от межсайтового скриптинга?
- person Matthew   schedule 06.07.2013
comment
xss покрывается, csrf нет. Вы можете попробовать создать простую форму и протестировать ее самостоятельно.
- person AMember   schedule 06.07.2013
comment
да. На самом деле я протестировал его в своем веб-приложении, и когда я вводил такие символы, как ‹›, возникало исключение.
- person Matthew   schedule 06.07.2013
Ответы (1)
<system.web>
<pages buffer="true" validateRequest="true" />
</system.web>
вы можете использовать библиотеку antxss как дополнение
person
qwr
schedule
06.07.2013
Спасибо :) Это линия, о которой я говорил. Это защищает от межсайтового скриптинга. Я правильно говорю это?
- person Matthew; 06.07.2013
Большое спасибо за ссылку :)
- person Matthew; 06.07.2013
Этот вопрос уже задавали много раз. Ответ: это зависит от вашего приложения. См. мой ответ здесь: stackoverflow.com/questions/9733427/
- person Erlend; 06.07.2013