我不清楚如何在.Net WebAPI 2项目中使用AntiXSS库。
我已经安装了AntiXSS NuGet包(它给了我4.3版),并在web.config中设置了httpRuntime的encoderType属性。
我现在应该使用哪个类来利用AntiXSS?它是否覆盖System.Web.HttpUtility的行为?
如果使用AntiXSS NuGet包,正确的用法是使用Microsoft.Security.Application.Encoder.
根据MS Web保护库(AntiXSS)项目的bdorrans,一旦设置了encoderType,您确实可以使用HttpUtility。
然而,对API的输出进行编码通常不应该是一个问题。我的场景是,我正在为一个单页应用程序提供服务,并且担心我通过我的模型向页面中注入了不安全的值。但是,除非通过.html()或.eval()注入值,否则任何恶意值都不会在客户端上执行。