Xss支持 - ASP.Net web api

Question

是否有任何內置支持來驗證Web API中的惡意輸入，類似於使用MVC的表單？

如果沒有，任何人都可以建議一個「全球」過濾器/消息inpector /無論是否對惡意輸入進行驗證？我試圖避免單獨驗證所有模型/參數...

Answer 1

不，我不相信有這樣的支持。這是爲什麼。 Web Forms/MVC的輸入驗證支持是一種權宜之計。但編碼輸出是更好的XSS修復;驗證輸入並不完美，因爲輸入是「壞」取決於您將如何輸出它（作爲HTML源元素的一部分，作爲JS源的一部分，在HTML屬性值中作爲SQL查詢的一部分等）。

因此，我建議不要將通用的全局輸入驗證作爲解決XSS問題的方法。相反，確保在輸出之前始終正確編碼輸入（或將其傳遞到另一個層，例如SQL DB）。對於輸出，如果您使用正常的Web API機制來返回數據（帶有內容協商/格式化程序的模型類），則格式化程序應該爲您處理特定於內容類型的編碼。

Answer 2

我相信XSS與ASP.NET Web API不相關。這是我爲什麼這麼認爲的原因。假設在請求正文中，假設我得到了一個類似"input": "<script>alert('hello');</script>"的JSON，並且Web API將綁定到某個屬性的「輸入」原樣存儲到數據庫中，並在隨後的GET請求中將其原樣檢索併發送關閉給客戶，這還是可以的。客戶有責任確保這些數據正確轉義。所以，當這個輸入屬性被序列化爲一個Web應用程序時，在它寫入瀏覽器之前，客戶端Web應用程序必須進行HTML編碼。這樣做的Web API通常沒有意義，因爲Web API可以被其他客戶端使用，說一個WPF應用程序，其中XSS可能不適用。或者我錯過了你想到的任何具體案例？

Answer 3

爲什麼不使用HttpUtility.HtmlEncode？

Answer 4

輸入應該總是被驗證。無論它走到哪裏都無所謂。名稱字段應該返回一個名稱字符串，而不是一個jpeg文件，或者例如根據您的環境SQL攻擊。