[我们有一个asp.net核心2.1网络api,其中我们有一个端点来发布带有示例有效负载的供应商,低于该负载的情况将存储在PostgreSQL DB中。当前,如果我们传递了想要限制和清理有效负载的脚本,则我们已经确定了XSS漏洞。
我在Internet上进行了搜索,但找不到可防止XSS攻击的.NET Core可行解决方案。任何人都可以提供带有示例代码块的解决方案。
谢谢你。
[{
"Vendor1": {
"Name": "Happy Customer 1 “><script>alert(“XSS”)</script>",
"UIN": ""
},
"Vendor2": {
"Name": "Happy Customer 2 “><script>alert(“XSS”)</script>",
"UIN": ""
}
}]
防止XSS的方法-1)HTLML编码输入的输入。参考-https://docs.microsoft.com/en-us/dotnet/api/system.web.httputility.htmlencode?view=netcore-2.0
2)通过白名单进行输入验证。
您可以遵循此参考资料,它显示了防止.Net核心中的xss的所有方法-https://docs.microsoft.com/en-us/aspnet/core/security/cross-site-scripting?view=aspnetcore-2.0
我希望这会有所帮助