Asp.net mvc 5 MVC5站点-如果我总是验证输入,我需要AntiXSS库吗?
我有一个MVC5站点。开箱即用,它验证所有输入,并防止用户输入html(因此,我假设是XSS攻击) 对吧? 如果我没有允许用户在站点中输入HTML的要求,是否有理由安装AntiXSS库 我发现了很多围绕这个主题的信息,但没有明确回答这个问题Asp.net mvc 5 MVC5站点-如果我总是验证输入,我需要AntiXSS库吗?,asp.net-mvc-5,Asp.net Mvc 5,我有一个MVC5站点。开箱即用,它验证所有输入,并防止用户输入html(因此,我假设是XSS攻击) 对吧? 如果我没有允许用户在站点中输入HTML的要求,是否有理由安装AntiXSS库 我发现了很多围绕这个主题的信息,但没有明确回答这个问题 谢谢。根据我的研究,这是不需要的,因为例如,如果您在将其发布到操作后在输入中编写html或脚本,则会出现如下错误: **"A potentially dangerous Request.Form value was detected from the cl
谢谢。根据我的研究,这是不需要的,因为例如,如果您在将其发布到操作后在输入中编写html或脚本,则会出现如下错误:
**"A potentially dangerous Request.Form value was detected from the client (Name=\"<b> test for AntiXSS </b>\").""**
**“一个潜在危险的请求。从客户端检测到表单值(名称=\“测试抗XSS\”)**
但是,如果您想使用tinymon或wysiwyg等HTML编辑器,该怎么办?这就是您可以使用此库的地方。虽然我提供您在Web应用程序中记录所有事件,但根据我的研究,这并不是必需的,因为例如,如果您在将其发布到操作后在输入中编写HTML或脚本,则会出现如下错误:
**"A potentially dangerous Request.Form value was detected from the client (Name=\"<b> test for AntiXSS </b>\").""**
**“一个潜在危险的请求。从客户端检测到表单值(名称=\“测试抗XSS\”)**
但是,如果您想使用tinymon或wysiwyg之类的HTML编辑器,该怎么办?这就是您可以使用此库的地方。虽然我提供您在您的Web应用程序中记录所有事件,但您不能总是指望ASP.NET阻止危险的表单值。例如,在AJAX调用中,如果您发布表单编码的值,它会捕获它,但是如果您发布JSON,它会让HTML通过。您不能总是指望ASP.NET阻止危险的表单值。例如,在AJAX调用中,如果您发布表单编码的值,它会捕获它,但是如果您发布JSON,它会让HTML通过。