Я считаю, что XSS не имеет отношения к веб-API ASP.NET. Вот почему я так думаю. Предположим, что в теле запроса я получил JSON, подобный этому "input": "<script>alert('hello');</script>"
, и веб-API хранит «ввод», который привязан к некоторому свойству as-is в базе данных и получает его как есть в последующем запросе GET и отправляет его к клиенту, все равно все в порядке. Клиент несет ответственность за правильное экранирование этих данных. Таким образом, когда это свойство ввода сериализуется, чтобы сказать веб-приложение, перед тем, как он записывается в браузер, клиентское веб-приложение должно кодировать HTML. Веб-API, делающий это, как правило, не имеет смысла, поскольку веб-API может быть использован другими клиентами, например, приложение WPF, где XSS может быть неприменимым. Или я пропускаю какой-либо конкретный случай, который вы имеете в виду?
Какого рода вредоносный ввод валидации вы имеете в виду в ASP.NET MVC? Является ли это проверкой проверки антифиргии? –
Атрибут ValidateInput и базовая инфраструктура asp.net для этого ... – drogon