Question

我有一个MVC 4应用程序，我正在尝试模拟XSS附加。我只有一个按钮和文本框，它只输出在文本框中输入的值，如下所示。当我在文本框中自动输入<script>alert('xss')</script>时，会显示一个异常，表明已从客户端检测到危险值。我怎样才能防止这个至少用于学习目的现在，遵循Furqan的建议后不会出现例外情况。但是我希望警报消息框出现但不会出现，而脚本标记则显示为字符串。

有人可以解释为什么会这样吗？

@{
    ViewBag.Title = "Index";
}

<h2>Index</h2>
<h2>@ViewBag.Message</h2>
<form method="post" action="/home/index">
<input type ="text" id="text" name="search" value="@ViewBag.Message"/>
<input type="submit" />
    </form>

这些是我的控制器操作。

public ActionResult Index()
        {
            return View();
        }
        [HttpPost]
        public ActionResult Index(string search)
        {
            ViewBag.Message = search;
            return View();
        }

Answer 1

您需要在操作中使用[ValidateInput(false)]，在视图中使用@Html.Raw：

控制器：

[HttpPost]
[ValidateInput(false)]
public ActionResult Index(string search)
{
    ViewBag.Message = search;
    return View();
}

查看：

<h2>@Html.Raw(ViewBag.Message)</h2>

Answer 2

MSDN有一篇关于阻止跨站点脚本编写的精彩文章：How To: Prevent Cross-Site Scripting in ASP.NET。

您可能还想尝试一些安全工具，例如Netsparker，它们将测试一系列常见且不太常见的攻击媒介。

模拟VS2012 MVC4应用程序中的XSS攻击

2 个答案: