ASP.NET MVC 请求 XSS 危险内容验证（ValidateInput）

小渣渣

需求：提取 ASP.NET MVC 中对请求表单中潜在危险的数据进行验证的源码。简单来说就是验证请求的数据是否有跨站点脚本( XSS ) 内容，MVC 中默认情况下会阻止 XSS。

跨站点脚本( XSS ) 是一种安全漏洞，可以在某些Web 应用程序中发现。XSS 攻击使攻击者能够将客户端脚本注入 其他用户查看的网页中。攻击者可能会利用跨站点脚本漏洞来绕过同源策略等访问控制。

ValidateInput：引发对通过 Cookies 、Form 和 QueryString 属性访问的集合的验证。该 HttpRequest 类使用输入验证标志来跟踪是否对通过 Cookies属性 Form访问 QueryString 的请求集合执行验证。

public void ValidateInput() {
            // It doesn't make sense to call this multiple times per request.
            // Additionally, if validation was suppressed, no-op now.
            if (ValidateInputWasCalled || RequestValidationSuppressed) {
                return;
            }

            _flags.Set(hasValidateInputBeenCalled);

            // This is to prevent some XSS (cross site scripting) attacks (ASURT 122278)
            _flags.Set(needToValidateQueryString);
            _flags.Set(needToValidateForm);
            _flags.Set(needToValidateCookies);
            _flags.Set(needToValidatePostedFiles);
            _flags.Set(needToValidateRawUrl);
            _flags.Set(needToValidatePath);
            _flags.Set(needToValidatePathInfo);
            _flags.Set(needToValidateHeaders);
        }

文档：https://learn.microsoft.com/zh-cn/dotnet/api/system.web.httprequest.validateinput?view=netframework-4.8

验证潜在危险数据：HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString，如下图：



源码地址：

https://referencesource.microsoft.com/#System.Web/HttpRequest.cs
https://referencesource.microsoft.com/#System.Web/CrossSiteScriptingValidation.cs

将源码复制到项目中，测试如下：



源码：

登录可见。

如果实在想接收危险内容可以使用：Request.Unvalidated.Form

（完）

小渣渣

AllowHtmlAttribute 类：通过跳过属性的请求验证，允许请求在模型绑定过程中包含 HTML 标记。 （强烈建议应用程序显式检查所有禁用请求验证的模型，以防止脚本攻击。）

https://learn.microsoft.com/zh-c ... .allowhtmlattribute

小渣渣

ValidateAntiForgeryToken 和 AutoValidateAntiforgeryToken 防伪造标记详解
https://www.itsvse.com/thread-9568-1-1.html