Должен ли я использовать Anti-XSS Security Runtime Engine в ASP.NET MVC?

Question

Я читал об анти-XSS Security Runtime Engine, и он выглядит как хорошее решение для веб-форм, потому что он проверяет элементы управления с помощью отражения и автоматически кодирует данные, где это необходимо. Однако, поскольку я на самом деле не использую серверные элементы управления в ASP.NET MVC, он не представляется жизнеспособным решением для ASP.NET MVC. Это правильно или я что-то упустил?

Answer 1

Anti-XSS Security Runtime Engine - это модуль HTTP, предназначенный в основном для обновления устаревших приложений ASP.NET. Если вы уже написали приложение ASP.NET MVC с надлежащей очисткой данных с помощью встроенных помощников HTML (например, Html.Encode ()), то модуль Anti-XSS не добавляет ничего нового и требует дополнительной настройки (для списки) и проверка ошибок.

В общем, вам не следует полагаться на Anti-XSS Engine, особенно если вы полагаетесь на явный контроль того, когда ввод вводится и не отображается как HTML.

Answer 2

У Фила Хаака есть интересная запись в блоге здесь http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx. Он предлагает использовать Anti-XSS в сочетании с CAT.NET.