投稿のコメントを処理するアクションに対して、ValidateInput属性をfalseに設定しました。私はこの構文を使用してhtml.encodingを使用していますコメントを再表示するは、ユーザー入力の再表示に関連するXSSに対抗するのに十分安全なこのMVCのアプローチですか?
次のコードをコメントボックスに掲示しました。コメントはそのままですが、スクリプトタグはそのままで実際のアラートは表示されませんでした。それは受け入れられますよね?
<script type="text/javascript"> alert("t"); </script>
ここで、URL関連の攻撃を監視する必要があることはわかっていますが、入力を再表示するには、このアプローチは十分安全ですか?
編集:コメントは「<」のような文字を許可する唯一の場所です。ほとんどの入力ボックスは英数字のみです。
"ほとんどの入力ボックスは英数字のみです"悪意のあるユーザーが手作業でサーバーに投稿を送信してから、入力フィールドに必要な値を入力する必要があります。そのため、クライアント側の検証を行っているかどうかにかかわらず常にサーバー側の検証を行うことが重要です。 –
@ Dr.Wily'sApprentice私はクライアント側とサーバー側の両方で英数字の検証を行っています。 – TPR