在“如何:在ASP.NET中防止跨站点脚本”的第一步骤注释中指出,您不应该“仅依赖于ASP.NET请求验证。将其视为额外预防措施,除了自己的输入验证之外。”
为什么这还不够呢?
为什么这还不够呢?
2个回答
2
一方面,黑客总是想出新的攻击方式和插入XSS的方法。ASP.NET的RequestValidation只有在发布新版本时才会更新,因此如果有人在ASP.NET发布后的第二天想出了一种新的攻击方式,RequestValidation将无法捕获它。
这是我认为AntiXSS项目出现的原因之一,因此它可以拥有更快的发布周期。
这是我认为AntiXSS项目出现的原因之一,因此它可以拥有更快的发布周期。
- PhilPursglove
2
只有两个提示:
您的应用程序可能不仅输出使用ASP.NET表单输入的数据。考虑Web服务、RSS提要、其他数据库、从用户上传中提取的信息等。
有时需要禁用默认(有效但过于简单)的请求验证,因为您需要在表单中接受尖括号。考虑所见即所得编辑器。
- realMarkusSchmidt
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接