Question

Добрый день!

Я бы хотел, чтобы html кодировал весь пользовательский ввод на сайте ASP.NET MVC 2, но по умолчанию.Можно ли это сделать где-нибудь на уровне подшивки модели?

Если я отключу проверку ввода для действия - мне нужно будет html-кодировать все остальные значения.Если я продолжу проверку запросов ASP.NET - это вызовет ошибку «Возможно, клиент обнаружил потенциально опасное значение Request.Form»

PS Я использую кодирование при выводе данных (синтаксис <%:%>), но я хотел бы закодировать все и после публикации.

Заранее спасибо!

rook · Answer 1 · 02 марта 2011

К сожалению, XSS - это проблема вывода, а не проблема ввода.Запуск всего через HTML-кодировщик не решит все ваши проблемы.Есть много способов получения xss без <>.

В целом ввод должен быть проверен непосредственно перед использованием.Вы не можете предсказать, как будут использоваться все входные данные, и вы в конечном итоге повредите данные.

HTML кодирует все входные данные на сайте ASP.NET MVC 2 по умолчанию

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

HTML кодирует все входные данные на сайте ASP.NET MVC 2 по умолчанию

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов