c# – 使用WebAPI时停止XSS

概述我有一个接受的控制器 public class MyModel{ [MaxLength(400)] public string Message { get; set; }} 我有一个WebApi Post Action public HttpResponseMessage Post(MyModel viewModel){ if (!ModelState.I 我有一个接受的控制器

public class MyModel{   [MaxLength(400)]   public string Message { get; set; }}

我有一个WebAPI Post Action

public httpResponseMessage Post(MyModel viewmodel){            if (!ModelState.IsValID)                return new httpResponseMessage(httpStatusCode.BadRequest);                             ...}

并采取行动.

由于内容是通过JavaScript写出的,而不是直接在视图中写出来的,确切的内容都被写出来了,也没有关于危险内容的asp.net警告.

我想要防范XSS.目前我在做

httpUtility.HTMLEncode(Regex.Replace(p.Message,@"<[^>]*>",String.Empty))

在Get动作中. (从Using C# regular expressions to remove HTML tags获取一些代码)

我应该使用Asp.Net内置的保护措施吗？我可以用我的模型装饰任何属性吗？

我注意到这个http://stephenwalther.com/archive/2012/06/25/announcing-the-june-2012-release-of-the-ajax-control-toolkit.aspx,但点击到http://wpl.codeplex.com/似乎是非常糟糕的审查.

解决方法 正如您的代码现在所处,用户可以注入不使用脚本标记的JavaScript.

可以使用common list个XSS漏洞.

现在你接受一个’字符串’,你所解析的只是HTML标签.不幸的是,有很多XSS攻击不依赖于HTML.

例如,将以下内容添加到firefox中的GET请求：“onmouSEOver = prompt()//将允许此人注入JavaScript.

最好的办法是使用AntiXss library from Microsoft,并专门为GET和POST请求编码参数.

(我必须开始工作,但稍后我将发布更多代码以了解如何执行此 *** 作).

总结

以上是内存溢出为你收集整理的c# – 使用WebAPI时停止XSS全部内容，希望文章能够帮你解决c# – 使用WebAPI时停止XSS所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。