[英]ASP.NET EnableViewStateMac cross-site scripting
我们对其中一个应用程序进行了外部安全审核,从而导致出现以下警告:
说明 :Microsoft ASP.NET EnableViewStateMac跨站点脚本
关注 :由于无法正确清理用户提供的输入,此应用程序容易出现此漏洞,从而使攻击者可以进行跨站点脚本攻击。
我发现了有关该问题的一些信息 。 主要是说: 永远不要将其设置为false。
我检查了代码,解决方案中的任何地方都没有EnableViewStateMac
设置,因此AFAIK这应意味着我们将默认设置为true很好。
还有其他可能出现的可能性吗? 是否还有其他包含EnableViewStateMac的设置?
我们使用.NET Framework 4.5
如果在单个页面级别上缺少EnableViewStateMac,则可以尝试添加
<%@ Page EnableViewStateMac="true" %>
和
<pages enableViewStateMac="true" />
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.