c# – 使用WebAPI时停止XSS
发布时间:2020-12-15 04:09:49 所属栏目:百科 来源:网络整理
导读:我有一个接受的控制器 public class MyModel{ [MaxLength(400)] public string Message { get; set; }} 我有一个WebApi Post Action public HttpResponseMessage Post(MyModel viewModel){ if (!ModelState.IsValid) return new HttpResponseMessage(HttpSta
|
我有一个接受的控制器
public class MyModel
{
[MaxLength(400)]
public string Message { get; set; }
}
我有一个WebApi Post Action public HttpResponseMessage Post(MyModel viewModel)
{
if (!ModelState.IsValid)
return new HttpResponseMessage(HttpStatusCode.BadRequest);
...
}
并采取行动. 由于内容是通过javascript写出的,而不是直接在视图中写出来的,确切的内容都被写出来了,也没有关于危险内容的asp.net警告. 我想要防范XSS.目前我在做 HttpUtility.HtmlEncode(Regex.Replace(p.Message,@"<[^>]*>",String.Empty)) 在Get动作中. (从Using C# regular expressions to remove HTML tags获取一些代码) 我应该使用Asp.Net内置的保护措施吗?我可以用我的模型装饰任何属性吗? 我注意到这个http://stephenwalther.com/archive/2012/06/25/announcing-the-june-2012-release-of-the-ajax-control-toolkit.aspx,但点击到http://wpl.codeplex.com/似乎是非常糟糕的审查. 解决方法
正如您的代码现在所处,用户可以注入不使用脚本标记的JavaScript.
可以使用common list个XSS漏洞. 现在你接受一个’字符串’,你所解析的只是HTML标签.不幸的是,有很多XSS攻击不依赖于HTML. 例如,将以下内容添加到Firefox中的GET请求:“onmouSEOver = prompt()//将允许此人注入JavaScript. 最好的办法是使用AntiXss library from Microsoft,并专门为GET和POST请求编码参数. (我必须开始工作,但稍后我将发布更多代码以了解如何执行此操作). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |