Tenemos una aplicación web .NET 4 con algunos campos de formulario ocultos. Cuando el sitio fue probado para detectar vulnerabilidades de XSS, estos campos ocultos fueron las primeras víctimas. ¿Cómo podemos proteger y salvaguardar nuestros campos ocultos? Para cuadros de texto normales y otros campos, usamos la validación del lado del servidor. Pero, ¿cómo verificamos los campos ocultos para evitar problemas de XSS?
Los campos ocultos son solo una convención del lado del cliente. En el lado del servidor solo está viendo cadenas de datos. Las protecciones XSS no deben variar si se trata de un campo oculto, desplegable o cualquier otro campo de entrada. Recuerde, es posible simplemente enviar tráfico HTTP en bruto a su servidor, un navegador web hace que sea fácil y sencillo trabajar con él.
Cuando los datos se recuperan del lado del servidor en las variables GET o POST, todas serán tratadas de la misma manera. Por lo tanto, cada campo debe ser verificado, en otras palabras, todos los comentarios proporcionados por el usuario deben ser validados. Consulte la orientación general de OWASP y la .NET Security Guidance .
Dependiendo de la configuración específica en .NET, necesitará un validador personalizado como una técnica.
Puede proteger su aplicación web .Net utilizando Razor HTML y codificación de Javascript Además de esto, hay una biblioteca bastante interesante: .NET AntiXSS Library que es :
una biblioteca de codificación que utiliza un enfoque de lista segura para la codificación. Eso proporciona HTML, XML, URL, formulario, LDAP, CSS, JScript y VBScript Métodos de codificación para permitirle evitar los ataques de secuencias de comandos entre sitios. Esta biblioteca forma parte de las herramientas de Microsoft SDL.