我需要这里描述的东西(一种将部分视图呈现给字符串的方法,以便我可以将它与其他一些数据一起传递给JsonResult)
最佳答案似乎运作良好,但我想知道这是否会为XSS CSS Injection打开一个向量?
如果确实如此,那么在返回结果之前,它会像html编码结果一样容易吗?
答案 0 :(得分:1)
您是否正在使用Json,HTML部分视图或HTTP POST 操作 提供一些XSS防御。 这意味着Get提供了相同的令牌。 通常在Razor中......添加令牌,然后在POST Action中检查。
Html.BeginForm
@Html.AntiForgeryToken()
[HttpPost]
[ValidateAntiForgeryToken]
public AResultTypeHere SomeActionMethod(myModel model)
或者您使用自己的隐藏字段并执行一些检查。 是的,请确保HTTP帖子受到保护。 http://www.veracode.com/security/xss作为首发。
还有关于该主题的基于MVC的材料,例如 http://weblogs.asp.net/jgalloway/archive/2011/04/28/preventing-javascript-encoding-xss-attacks-in-asp-net-mvc.aspx