Question

Я создаю веб-приложение ASP.NET MVC и отправлю ему некоторые данные с помощью вызова API со следующим содержимым.

{
    "content": "<script>alert('hallo');</script>",
    "title": "<script>alert('hallo');</script>"
}

Как я могу предотвратить принятие этого сервером? Я знаю, что XSS по умолчанию запрещен в MVC, но, похоже, он не работает. Это мой код на стороне сервера:

public class DefaultController : Controller
{
    [HttpPost]
    public JsonResult Create()
    {
        // ...skipped
    }
}

Я что-то пропустил?

dee zg · Answer 1 · 27 июня 2019

вот и все ок.ваш сервер должен принять его.

Обычный шаблон для этого:

принимать вещи от клиента по мере их отправки
делать кодировки html-сущностей для всего, что вы отправляете обратноклиенту

MVC позволяет XSS-атаку при использовании вызова API

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

MVC позволяет XSS-атаку при использовании вызова API

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов