Je travaille sur XSS (script intersite) problèmes de mon application web. L'application dispose de nombreux contrôles utilisateur qui prennent des entrées utilisateur.
Je suis tombé sur cet article http://www.asp.net/whitepapers/request-validation
Pouvez-vous répondre aux questions ci-dessous:
Y a-t-il des inconvénients à utiliser validateRequest = "true" au niveau de l'application (dans web.config)?
Existe-t-il un meilleur moyen de résoudre les problèmes XSS en dehors de chaque contrôle et du codage HTML?
Merci d'avance.
Réponses:
1 pour la réponse № 1Quelque chose qui me vient à l'esprit au départ est le suivant:
Si vous ajoutez rétrospectivement validateRequest sur un site, toute entrée utilisateur contenant des scripts malveillants que vous avez déjà capturés et stockés dans une base de données reste une vulnérabilité pour votre application, validateRequest ne vous protégera pas ici, le codage HTML le fera.
Il peut être difficile de vous frayer un chemin à travers votreapplication et HTML Encode tout, si vous êtes vraiment dérangé, c'est un mal nécessaire. Les pirates trouvent toujours de nouvelles méthodes. Si vous utilisez une bibliothèque, vous devrez attendre les mises à jour pour corriger de nouveaux trous, tout en laissant votre site vulnérable - je crois que HTML Encode est votre meilleure arme pour se défendre contre les attaques XSS.
Cela dit, lisez brièvement ceci:
L'encodage HTML empêchera-t-il toutes sortes d'attaques XSS?