Question

При использовании HttpRequestValidationException обязательно ли он защищает вас от всех кросс-скриптовых угроз?

Существуют ли ситуации, когда потенциально опасный сценарий может остаться незамеченным?

Erlend · Answer 1 · 09 декабря 2011

Нет, короче говоря, нет.Пожалуйста, декомпилируйте его с помощью рефлектора и посмотрите, что он делает.Атака на html-атрибут может быть такой: "onfocus = alert (1) autofocus. В этом нет <или>, но он все еще работает. Пожалуйста, используйте AntiXss и ознакомьтесь с таблицей предупреждений OWASP XSS. Поэтому вам нужно уделять внимание особенно всякий раз, когдаВы используете неэкранированные атрибуты, такие как Literal.

rick schott · Answer 2 · 09 декабря 2011

Да, короче говоря, это так. Он не может делать все, что связано с XSS, например контролировать то, что вы делаете с помощью JavaScript (eval()... и т. Д.). Если запрос обрабатывается вашими приложениями ASP.NET, он хорошо работает, всегда есть исключения.

HttpRequestValidationException и межсайтовый скриптинг XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

HttpRequestValidationException и межсайтовый скриптинг XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов