防止反射的XSS执行

时间:2017-05-31 14:36:20

标签: asp.net-mvc asp.net-web-api2 xss

我有一个带有以下签名的Web API方法

[RoutePrefix("api/data")]
public class DataController : ApiController
{

 [Route("", Name = "GetData")]
 [HttpGet]
 public HttpResponseMessage GetData(int page= 0, int pageSize = 10, string state = "all")
 {
   // Code to get the data from database
 }
}

从angularjs应用程序调用此方法:

var route = "/data" + "?state=" + state + "&page=" + page + "&pageSize=" + pageSize;
this.$http.get(this.api + route).success(function (response) {
    // Code to get the details
}

现在我尝试使用Firefox浏览器执行URL:http://localhost/api/data?state=open&page=0&pageSize="--></script><svg/onload=';alert(/XSS/);'>,我看到会显示一个警告对话框。

任何人都可以提供解决此问题的指导

0 个答案:

没有答案
相关问题
最新问题