C# MVC在使用API调用时允许XSS攻击_C#_Asp.net Mvc_Xss

C# MVC在使用API调用时允许XSS攻击

c# asp.net-mvc

C# MVC在使用API调用时允许XSS攻击,c#,asp.net-mvc,xss,C#,Asp.net Mvc,Xss,我正在制作一个ASP.NET MVC Web应用程序，我将使用包含以下内容的API调用向它发送一些数据 { 内容：警报“哈罗”；，标题：警报“哈罗”； } 我如何防止服务器接受这一点？我知道默认情况下MVC会阻止XSS，但它似乎不起作用。这是我在服务器端的代码：公共类DefaultController:控制器 { [HttpPost] 公共JsonResult创建 { //…跳过 } } 我错过什么了吗？没关系。您的服务器应该接受它通常的模式是：接收客户发送的内容对发送回客户端的所有

我正在制作一个ASP.NET MVC Web应用程序，我将使用包含以下内容的API调用向它发送一些数据

{ 内容：警报“哈罗”；，标题：警报“哈罗”； } 我如何防止服务器接受这一点？我知道默认情况下MVC会阻止XSS，但它似乎不起作用。这是我在服务器端的代码：

公共类DefaultController:控制器 { [HttpPost] 公共JsonResult创建 { //…跳过 } } 我错过什么了吗？

没关系。您的服务器应该接受它

通常的模式是：

接收客户发送的内容对发送回客户端的所有内容进行html实体编码

您的服务器接受这一点没有问题。从@SLaks开始，问题是您是否将该信息逐字包含到发送到浏览器的内容中。如果数据完全不可信，那么您需要在使用它之前对其进行HtmlEncode。