Ответ 1
У Phil Haack есть интересное сообщение в блоге http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx. Он предлагает использовать Anti-XSS в сочетании с CAT.NET.
Должен ли я использовать механизм Runtime безопасности Anti-XSS в ASP.NET MVC?
Я читал в Anti-XSS Security Runtime Engine и выглядит как приятное решение для веб-форм, потому что он проверяет элементы управления посредством отражения и автоматически кодирует данные там, где это необходимо. Однако, поскольку я не использую серверные элементы управления в ASP.NET MVC, это не похоже на жизнеспособное решение для ASP.NET MVC. Это правильно или я что-то не хватает?
Ответы
Ответ 2
Механизм Runtime безопасности Anti-XSS - это HTTP-модуль, предназначенный главным образом для обновления устаревших приложений ASP.NET. Если вы уже написали приложение ASP.NET MVC с правильной очисткой данных со встроенными HTML-помощниками (например, Html.Encode()), тогда Anti-XSS Engine не добавляет ничего нового и требует дополнительной настройки (для необходимых белых- списки) и проверка ошибок.
В целом, вы не должны полагаться на движок Anti-XSS, особенно если вы полагаетесь на явный контроль над вводом и не отображается как HTML.