дезинфекция xss в asp.net mvc

Question

Каков наилучший способ обезопасить ввод пользователя в asp.net mvc без исключения «потенциально опасный request.form» и при этом предотвратить атаку xss для почтовых запросов, содержащих опасных тегов.

Редактировать: Я попробовал AntiXss и создал собственный кодировщик, который кодирует все представленные значения во время выполнения, но проблема в том, что он по-прежнему выдает исключение.На самом деле я не понимаю, где именно (какое событие) я могу гарантировать, что запрос не содержит ничего опасного, и если он содержит что-то опасное, я могу перенаправить его на другое действие, а не выдавать исключение.

Answer 1

Отключите автоматическую проверку формы и используйте Microsoft Anti-Cross Site Scripting Library , чтобы вручную проверить каждое соответствующее поле для XSS.

Конечно, в MVC некоторые проверки выходятиз коробки.Если, например, ваш метод действия содержит параметр int с именем productID, и пользователь отправляет форму с полем productID, она автоматически заполняется механизмом привязки модели MVC, и вы получаете «сильный» int, на который вы можете рассчитывать.Нет текста внутри, нет проблем.Поэтому все, что вам нужно проверить, это текстовые поля.