У меня есть служба WCF, на которой выставлены конечные точки basicHttp. В PEN-тестировании сообщается о том, что служба принимает строки, содержащие теги скриптов, и возвращает строки с тегом скрипта, которые при непосредственном использовании в потребляющих его веб-приложениях вызывают атаку XSS.Предотвращение атак XSS в вызовах WCF
Что я могу сделать, так это в каждой реализации операции написать код, чтобы сделать скрипт строкой. Но есть ли простой/эффективный способ, чтобы я мог написать один код для очистки всех входящих строк в вызовах WCF из тегов скриптов.
например. в операции AddUser, которая принимает имя пользователя и адрес, если я отправлю Akshay<script>alert('hi');</script>
, операция просто должна удалить теги сценария.
Так в настоящее время она возвращается Akshay<script>alert('hi');</script>
, но, как ожидается, вернуть что-то вроде Akshayalert('hi');
Hi eocron, я реализовал свой ответ, но я получил две ошибки в «CleanOperationInvoker» класс, ошибках ниже. 1) CacheOperationInvoker: метод должен иметь тип возврата 2) поле readonly не может быть присвоено Не могли бы вы заглянуть в него и обновить свой ответ, мне нужно срочно. Спасибо! –
Привет, eocron, можете ли вы предоставить мне код для реализации поведения конечных точек и привязать его ко всем вашим операциям по всем контрактам? –