Профилактика XSS: запутался в совете :)

Question

В этом сообщении в блоге , когда речь идет о советах по предотвращению XSS (поиск " Чтобы предотвратить межсайтовый скриптинг " в тексте), я могу прочитать

Отключить проверку запроса с помощью атрибута ValidateInput.Этот атрибут будет ложно отклонять допустимый ввод HTML.

Возможно, это потому, что мои знания английского далеко не идеальны, но я вижу некоторое противоречие в терминах.На самом деле в начале я понимаю, что я должен использовать атрибут ValidateInput , но затем он говорит, что этот атрибут ложно отклоняет допустимый ввод HTML , поэтому его не рекомендуется использовать.

Похоже, на следующий день после выборов в Италии: кто-то победил, кто-то не проиграл, у кого-то была хорошая производительность: D

Что, кстати, правильносмысл этого предложения?

Answer 1

Это предложение также противоречит и неясно для меня.Возможно, автор имел в виду, что вам не нужно использовать этот атрибут, потому что по умолчанию опасные запросы будут отклонены.

Лично я перестал читать статью с этим утверждением: DO access data in views using ViewData.Был даже дан пример того, как это сделать.

Answer 2

Я согласен, это сбивает с толку - но он, похоже, предлагает отключить этот атрибут.Это безопасно в сочетании с его следующим советом , кодирующим все отображаемые данные пользователя (поэтому < становится < и т. Д.).

Я думаю, что "отключение проверки запроса"Тем не менее, это плохой совет в качестве первого из трех советов по «предотвращению атак с использованием межсайтовых сценариев».