在前台验证了XSS注入内容,就可靠了么?
我有个疑问,最近需要用到富文本编辑器,那么就在MVC后台控制器关闭了验证[ValidateInput(false)]
这样前台富文本的内容就可以正常提交上来了。
那么问题来了,这个关闭了过后,明显会不安全,而网上有很多方法,都是在前台提交的时候,过滤掉威胁代码,
例如http://jsxss.com/zh/index.html 这个里面介绍的就是,这个过滤的确很牛逼,但是它是前台的,它的使用方法就是引入JS,然后调用,我在想,攻击者在拿到前台代码后,很明显就知道我是提交到控制器哪个位置的,然后他伪造一个网页,去掉相关的验证部分函数,提交上来岂不是就行了?
如果再没有其他什么保护的情况下,单独这样前台伪造个页面提交,感觉就跟前台过滤没什么关系了啊。。。。是我想错了么?