Fatal编程技术网
  • asp.net-mvc-4/
  • Asp.net mvc 4 是否使用JsonResult-XSS注入风险包含渲染的局部视图?

Asp.net mvc 4 是否使用JsonResult-XSS注入风险包含渲染的局部视图?

asp.net-mvc-4

Asp.net mvc 4 是否使用JsonResult-XSS注入风险包含渲染的局部视图?,asp.net-mvc-4,partial-views,xss,Asp.net Mvc 4,Partial Views,Xss,我需要类似于这里所描述的内容(将部分视图呈现为字符串的方法,以便我可以将其与其他一些数据一起作为JsonResult传递) 上面的答案似乎运行良好,但我想知道这是否为XSS CSS注入打开了一个向量 如果是这样的话,返回结果之前是否会像html编码一样简单以防止它发生?无论您使用的是Json、html局部视图,还是HTTPPOST操作都应该 提供一些XSS防御。 这意味着Get提供了相同的令牌。 通常在剃刀。。。添加令牌,然后签入POST操作 Html.BeginForm @Html.Ant

我需要类似于这里所描述的内容(将部分视图呈现为字符串的方法,以便我可以将其与其他一些数据一起作为JsonResult传递)

上面的答案似乎运行良好,但我想知道这是否为XSS CSS注入打开了一个向量

如果是这样的话,返回结果之前是否会像html编码一样简单以防止它发生?

无论您使用的是Json、html局部视图,还是HTTPPOST操作都应该 提供一些XSS防御。 这意味着Get提供了相同的令牌。 通常在剃刀。。。添加令牌,然后签入POST操作

Html.BeginForm
 @Html.AntiForgeryToken()



 [HttpPost]
 [ValidateAntiForgeryToken]
  public AResultTypeHere SomeActionMethod(myModel model)
或者使用自己的隐藏字段并执行一些检查。 因此,是的,请确保HTTP帖子受到保护。 作为开始

也有基于MVC的主题材料,例如