は、ユーザー入力の再表示に関連するXSSに対抗するのに十分安全なこのMVCのアプローチですか？

Question

投稿のコメントを処理するアクションに対して、ValidateInput属性をfalseに設定しました。私はこの構文を使用してhtml.encodingを使用していますコメントを再表示する

次のコードをコメントボックスに掲示しました。コメントはそのままですが、スクリプトタグはそのままで実際のアラートは表示されませんでした。それは受け入れられますよね？

<script type="text/javascript"> alert("t"); </script> 

ここで、URL関連の攻撃を監視する必要があることはわかっていますが、入力を再表示するには、このアプローチは十分安全ですか？

編集：コメントは「<」のような文字を許可する唯一の場所です。ほとんどの入力ボックスは英数字のみです。

Answer 1

はいあなたのアプローチは、あなたが<%:を使用しているという事実は、データベースに保存されているかは重要ではありませんことを意味し、安全で、ブラウザでレンダリングしたときに見える場合ので、エンコードさと値あなたのコメントを表示しているページのhtmlソースでは、<script...が実際には<script...であることがわかります。これは実行する必要があるものとしてブラウザによって解釈されません。

サイドノート：これらのコメントはブラウザでそのまま表現されることはありません（最初にエンコードしないでください）、リスクを軽減する最も安全な方法は、それらは最初にサーバー側の検証を過ぎてしまいます。しかし、あなたのデータベースにコードを保存するための有効なユースケースがあります - あなたが提供していないユースケース（あなたが提供していないもの）によって異なります。