我不清楚如何在我的.Net WebAPI 2项目中使用AntiXSS库。
我已经安装了AntiXSS NuGet包(它给了我v4.3),并在web.config中设置了httpRuntime的encoderType属性。
我现在应该使用哪个类来利用AntiXSS?它是否会覆盖System.Web.HttpUtility的行为?
答案 0 :(得分:3)
如果使用AntiXSS NuGet包,正确使用是使用Microsoft.Security.Application.Encoder。
根据MS Web Protection Library(AntiXSS)项目的bdorrans,一旦设置了encoderType,您确实可以使用HttpUtility。
但是,编码API的输出通常不是一个问题。我的情况是我正在服务单页应用程序,并担心我是通过我的模型将不安全的值注入页面。但除非通过.html()或.eval()注入值,否则任何恶意值都不会在客户端上执行。