ASP.NET MVC demande la validation de contenu dangereux XSS (ValidateInput)

Petite ordure · Publié sur 08/07/2023 22:05:07

Exigences : Extraire le code source dans ASP.NET MVC pour valider les données potentiellement dangereuses dans le formulaire de demande. En termes simples, il vérifie que les données demandées contiennent du contenu de scripting inter-site (XSS),XSS est bloqué par défaut dans MVC。

Le cross-site scripting (XSS) est une vulnérabilité de sécurité que l’on peut trouver dans certaines applications web. Les attaques XSS permettent aux attaquants d’injecter des scripts côté client dans des pages web consultées par d’autres utilisateurs. Les attaquants pourraient exploiter les vulnérabilités de scripting cross-site pour contourner les contrôles d’accès tels que les politiques de même origine.

ValidateInput : Affiche la validation des collections accessibles via les propriétés Cookies, Form et QueryString. devoirhttpRequestLa classe utilise le drapeau de validation d’entrée pour suivre si la validation est effectuée sur une collection de requêtes accédant à la QueryString via le formulaire de propriété Cookies.

public void ValidateInput() {
         Il n’est pas logique d’appeler cela plusieurs fois par demande.
         De plus, si la validation était supprimée, non-op maintenant.
         si (ValidateInputWasCalled || RequestValidationSuppressed) {
            rendre;
         }

         _Drapeaux. Set(hasValidateInputBeenCalled) ;

         Cela vise à prévenir certaines attaques XSS (cross-site scripting) (ASURT 122278)
         _Drapeaux. Set(needToValidateQueryString) ;
         _Drapeaux. Set(besoinDeValideForme) ;
         _Drapeaux. Set(needToValidateCookies) ;
         _Drapeaux. Set(needToValidatePostedFiles) ;
         _Drapeaux. Set(needToValidateRawUrl) ;
         _Drapeaux. Set(needToValidatePath) ;
         _Drapeaux. Set(needToValidatePathInfo) ;
         _Drapeaux. Set(needToValidateHeaders) ;
      }

Documentation:La connexion hyperlientérée est visible.

Validez les données potentiellement dangereuses :HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString, comme montré dans la figure ci-dessous :

Adresse du code source :

La connexion hyperlientérée est visible.
La connexion hyperlientérée est visible.

Copiez le code source dans votre projet et testez-le comme suit :

Source:

La connexion est visible.

Si vous souhaitez vraiment recevoir du contenu dangereux, vous pouvez utiliser Request.Unvalidated.Form

(Fin)

Petite ordure · Publié sur 08/07/2023 22:06:32

Classe AllowHtmlAttribute : Permet aux requêtes d’inclure le balisage HTML lors de la liaison du modèle en sautant la validation des requêtes pour les attributs. (Il est fortement recommandé que les applications vérifient explicitement tous les modèles désactivant la validation des requêtes pour prévenir les attaques de script.) ）

https://learn.microsoft.com/zh-c ... .allowhtmlattribute

Petite ordure · Publié sur 08/07/2023 22:06:49

Les tags anti-contrefaçon ValidateAntiForgeryToken et AutoValidateAntiforgeryToken sont expliqués en détail
https://www.itsvse.com/thread-9568-1-1.html

[Source] ASP.NET MVC demande la validation de contenu dangereux XSS (ValidateInput)

Articles connexes

Sections vues