我们有一个ASP.NET MVC站点,它使用UrlHelper.Action生成发送到客户端的URL。我们使用Veracode安全平台扫描了我们的应用程序。它确定了一个问题:
网页中与脚本相关的HTML标记的中和不当(基本XSS)
受污染的数据来自之前对system_web_mvc_dll.System.Web.Mvc.UrlHelper.Action的调用。
我们的网址不使用可能来自客户端并受到污染的模型状态值。他们都很直接。
UrlHelper是否存在任何漏洞或确保其生成的网址不允许XSS注入的最佳做法?