asp.net-mvc - net - cross site scripting solution
¿ASP.NET MVC 4 requiere un manejo adicional de XSS por defecto (1)
ASP.NET MVC 4 ignora por defecto la entrada de HTML en un mensaje de publicación. Si no acepto HTML explícitamente, ¿hay algún código que deba escribir para defender mi sitio de los ataques XSS? No [AllowHtml] ni [ValidateInput(false)] . Solo estoy tratando de averiguar si debería preocuparme por los ataques XSS o no. Estoy usando Razor como mi motor de visualización.
Encontré una excelente publicación de blog de Amir Ismail que aborda todas sus inquietudes. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
Para resumir lo que escribe. Razor está codificado por defecto a menos que se use Html.Raw . Html.AntiForgeryToken() se puede usar para crear un token aleatorio que protegerá contra CSRF, sin embargo, requiere que el usuario acepte cookies.