1 min to read
XSS injection a MVC
Domyślnie samo ASP.NET MVC zabezpiecza nas przed XSS injection, ale możemy to zabezpieczenie mniej lub bardziej świadomie wyłączyć i umożliwić wykradnięcie zmiennej sesyjnej czy też danych użytkowników przez dodanie atrybutu ValidateInput(false).
Ostatnio spotkałem się z przypadkiem gdzie ValidateInput(false) został użyty w celu zezwolenia przechowywania treści HTML’a w polu na formularzu. Spoko.
Z tym, że walidacji na javascript też przy okazji się pozbyliśmy.
Szybkie lekarstwo? dodaj atrybut AllowHtml do właściwości która może zawierać HTML’a.
Comments