asp.net - 如何避免ASP.Net(MVC)中的XSS漏洞？

我最近注意到我的应用程序有一个很大的漏洞，因为我做了类似的事情:

<input type="text" value="<%= value%>" />

我知道我应该使用Html.Encode，但是有什么方法可以对所有值执行此操作，而不必显式执行？

最佳答案

有几种方法:

在ASP.NET MVC2 / .NET 4.0中使用<%: %>语法。 (这只是Html.Encode()的语法糖)

请遵循laid out by Phil Haack的说明，其中使用Anti-XSS库作为ASP.NET的“默认”编码引擎进行了详细说明。

关于asp.net - 如何避免ASP.Net(MVC)中的XSS漏洞？，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/3955658/