Достаточно ли атрибута [Produces («application / json»)] для предотвращения всех xss-атак в приложении WebApi & ReactJS?

Question

Я разрабатываю SPA, используя ASP.NET Core и ReactJS.

В некоторых местах приложения пользователи имеют возможность создавать комментарии, которые будут показаны всем.Поэтому у меня есть строковые входы в контроллерах, и я сохраняю данные «как есть» в базе данных.

Я добавил атрибут [Produces («application / json»)] для каждого контроллера - чтобы вернуть json как результат (Я не использую рендер на стороне сервера).

Мой вопрос: должен ли я дополнительно кодировать входные данные (перед сохранением в БД или перед отправкой пользователю) - или этот атрибут автоматически кодирует все строки (перед отправкой пользователю) и у меня не будет шанса использовать XSS-атаку в моем приложении?

Спасибо.

Answer 1

В качестве документов укажите

Фильтр, который указывает ожидаемый тип, который будет возвращать действие, и поддерживаемые типы содержимого ответа.Значение ContentTypes используется для установки ContentTypes

Атрибут Produces будет определять только то, что произведет действие / метод, он не будет кодировать любую входную строку