Я ищу пример XSS-уязвимости, которую можно было бы остановить, просто используя AntiXSS Encoder 4.1 Beta в качестве кодировщика времени выполнения (настройка в system.web / httpRuntime). Я бы предпочел что-то, что не требует явных вызовов функций AntiXss, например
@AntiXss.JavaScriptEncode(ViewBag.UserName)
. Я думаю, что что-то, что попало бы в черный список ASP.NET, но не Не пройти ли это через белый список AntiXSS, может быть, что-то связано с альтернативными наборами символов или кодировкой?
Я тестировал уязвимости UTF-7, но не обнаружил ни одной из уязвимостей, влияющих на современные браузеры.