Должен ли я использовать механизм Runtime безопасности Anti-XSS в ASP.NET MVC?

Я читал в Anti-XSS Security Runtime Engine и выглядит как приятное решение для веб-форм, потому что он проверяет элементы управления посредством отражения и автоматически кодирует данные там, где это необходимо. Однако, поскольку я не использую серверные элементы управления в ASP.NET MVC, это не похоже на жизнеспособное решение для ASP.NET MVC. Это правильно или я что-то не хватает?

Ответы

Ответ 2

Механизм Runtime безопасности Anti-XSS - это HTTP-модуль, предназначенный главным образом для обновления устаревших приложений ASP.NET. Если вы уже написали приложение ASP.NET MVC с правильной очисткой данных со встроенными HTML-помощниками (например, Html.Encode()), тогда Anti-XSS Engine не добавляет ничего нового и требует дополнительной настройки (для необходимых белых- списки) и проверка ошибок.

В целом, вы не должны полагаться на движок Anti-XSS, особенно если вы полагаетесь на явный контроль над вводом и не отображается как HTML.