ASP.NET MVC 4默认情况下,忽略一个帖子消息的HTML输入。 如果我不明确接受HTML,是否有我需要写捍卫我的网站对XSS攻击的任何代码? 我将不使用[AllowHtml]或[ValidateInput(false)] 。 我只是想知道我是否应该担心XSS攻击与否。 我用剃刀为我的视图引擎。
Answer 1:
我发现一个优秀的博客文章阿米尔·伊斯梅尔 ,解决您所有的顾虑。 http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
总结他写的东西。 除非剃刀被编码默认Html.Raw使用。 Html.AntiForgeryToken()可以被用来创建一个随机令牌,这将防止CSRF然而,它要求用户接受cookies。
文章来源: Does ASP.NET MVC 4 require extra XSS handling by default
