Question

В примечаниях к шагу 1 в «Как: предотвратить межсайтовый скриптинг в ASP.NET» указано, что вы не должны «полагаться на проверку запросов ASP.NET. Рассматривайте это как дополнительные меры предосторожности в дополнение к вашей собственной проверке входных данных. "

Почему этого недостаточно?

realMarkusSchmidt · Answer 1 · 01 апреля 2010

Всего две подсказки:

Ваше приложение может выводить не только данные, введенные с помощью форм ASP.NET. Подумайте о веб-сервисах, RSS-каналах, других базах данных, информации, извлеченной из пользовательских загрузок и т. Д.
Иногда необходимо отключить стандартную (эффективную, но чрезмерно простую) проверку запросов, потому что вам нужно принять угловые скобки в ваших формах. Подумайте о редакторе WYSIWYG.

PhilPursglove · Answer 2 · 01 апреля 2010

С одной стороны, хакеры всегда придумывают новые атаки и новые способы вставки XSS. Запрос ASP.NET RequestValidation обновляется только тогда, когда выходит новая версия ASP.NET, поэтому, если кто-то предпримет новую атаку на следующий день после выпуска ASP.NET, RequestValidation не сможет ее поймать.

Это (я считаю) одна из причин, по которой появился проект AntiXSS , поэтому он может иметь более быстрый цикл выпуска.

Почему ValidateRequest = "true" недостаточно для предотвращения XSS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Почему ValidateRequest = "true" недостаточно для предотвращения XSS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов