Question

В приложении Asp.net Mvc все строковые выходные данные по умолчанию не экранированы, либо вы не забываете все экранировать с помощью HTTPUtility, либо вы открываете себя для атак XSS.

Теперь я забывчивый парень, поэтому я ищу решение, которое поможет мне "не забыть" избавиться от всех моих цепочек за меня.

Кто-нибудь может поделиться какими-либо методами, которые они использовали, чтобы ускользнуть от всех выходов Asp.net MVC проще?

Cleiton · Answer 1 · 23 августа 2009

jfar, то, что вы хотите, абсолютно возможно, смотрите это отличное сообщение в блоге:

http://blog.codeville.net/2007/12/19/aspnet-mvc-prevent-xss-with-automatic-html-encoding/

Стив Сандерсон объясняет пошагово, как изменить поведение "<% = ....>", переопределяя метод GenerateCodeFromStatement () из класса CSharpCodeProvider, что очень круто убирает много вызовов HttpUtility.HtmlEncode и довольно хорошо работает с asp.net mvc.

Matthew Groves · Answer 2 · 23 августа 2009

Я думаю, вы обнаружите, что многие вещи не являются "встроенными" в MVC, потому что это своего рода одно из основных его достоинств: он достаточно гибок, чтобы дать вам большой контроль, и поэтому ожидает, что вы сделаете некоторые вещи сами.

Однако, проверьте MVCContrib , в частности, FluentHtml; Я считаю, что по умолчанию для вас подходит кодировка.

Автоматический выход Asp.Net MVC

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Автоматический выход Asp.Net MVC

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов