Asp.net mvc 在MVC应用程序中将encoderType设置为AntiXssEncoder有什么好处？_Asp.net Mvc_Antixsslibrary

Asp.net mvc 在MVC应用程序中将encoderType设置为AntiXssEncoder有什么好处？

asp.net-mvc

Asp.net mvc 在MVC应用程序中将encoderType设置为AntiXssEncoder有什么好处？,asp.net-mvc,antixsslibrary,Asp.net Mvc,Antixsslibrary,在.NET4.5的新增页面中，它说您可以将encoderType设置为使用AntiXssEncoder类型。但是修改默认的encoderType有什么好处呢谢谢。它正在设置对输入值的完全控制。当字符串包含一些恶意代码时，antixss库会将其删除以进行保护 AntiXssEncoder使用白名单方法识别恶意输入[导致跨站点脚本（XSS）的输入] ASP.Net中的默认编码器使用黑名单方法两者都对数据进行输出编码。从安全角度来看，在识别恶意方面，基于白名单的方法应始终优于黑名单方法摘

在.NET4.5的新增页面中，它说您可以将encoderType设置为使用AntiXssEncoder类型。

但是修改默认的encoderType有什么好处呢

谢谢。

它正在设置对输入值的完全控制。当字符串包含一些恶意代码时，antixss库会将其删除以进行保护

AntiXssEncoder使用白名单方法识别恶意输入[导致跨站点脚本（XSS）的输入]

ASP.Net中的默认编码器使用黑名单方法

两者都对数据进行输出编码。从安全角度来看，在识别恶意方面，基于白名单的方法应始终优于黑名单方法

摘自

由于使用白名单方法，AntiXSS本质上更安全。许多安全审核和认证都要求您使用白名单XSS编码器，因为黑名单总是潜在的易受未知攻击

较新的浏览器内置了更好的XSS过滤功能，但较旧的浏览器（例如UTF-7字符集开关）中存在以下漏洞： ASP.NET默认编码器将无法检测到

<httpRuntime ...
    encoderType="System.Web.Security.AntiXss.AntiXssEncoder,System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />