asp.net mvcでxssをサニタイズする

Question

「潜在的に危険なrequest.form」例外をスローせずに、依然としての投稿要求に対するxss攻撃を防ぎ、asp.net mvcでユーザー入力をサニタイズする最良の方法はタグ。

編集： 私はAntiXssを試してみましたが、実行時にすべて提出された値を符号化するが、問題は、それはまだ例外をスローしていることであるカスタムエンコーダを作成しました。実際には、リクエストが何も危険なものではないことを確実にすることができる場所を正確に把握していないし、危険なものが含まれている場合は例外をスローするのではなく別のアクションにリダイレクトすることができます。

Answer 1

自動フォームチェックを無効にし、Microsoft Anti-Cross Site Scripting Libraryを使用して、XSSの各関連フィールドを手動でチェックします。

もちろん、MVCではいくつかのチェックが行われます。たとえば、アクションメソッドにproductIDというintパラメータが含まれていて、ユーザーがproductIDフィールドを含むフォームを送信すると、MVCのモデルバインダーメカニズムによって自動的に入力され、あなたが信頼できる「強い」intを取得します。内部にはテキストはなく、問題はありません。 チェックする必要があるのは、テキストベースのフィールドだけです。