ASP.NET 中的漏洞問題

在我們的漏洞報告中，我在下面提到了一個漏洞。

“發現 Microsoft ASP.NET 驗證請求過濾器可能允許遠端攻擊者繞過它的過濾器並使用小於斜杠和小於波浪號 (<~/) 序列進行跨站點腳本攻擊。這些漏洞是在 CVE-2008-3842 和 CVE-2008-3843 中描述。”

我們使用的是 windows server 2008r2 service pack1 企業版。我們目前的 .Net 框架是 4.0.30319，為了創建應用程序池，我們使用 .Net 框架 2.0.50727，因為這是開發人員的要求。

請提出您的意見以解決此問題。

據我所知，微軟尚未真正確認這個問題，但最好自己過濾數據。他們只是說如果你依賴原生內置的 XSS 保護，你可能會失望。

至於如何防範XSS：

OWASP 在這裡很好地涵蓋了 XSS，即使有預防表，但細化的規則是不要真正信任使用者輸入並實施檢查和過濾以確保他們輸入的內容是他們應該輸入的內容（例如 %s和

tl;博士程式碼中的最佳實踐意味著此漏洞對您的影響最小。不良做法意味著您手上可能有 XSS 向量。執行該站點的任何人都應該知道如何避免 XSS 向量。

引用自：https://serverfault.com/questions/716342