ли способ вручную вызвать обнаружение XSS из MVC, например из фильтра, в случаях, когда json публикуется в действии MVC (например, сообщение $ .ajax из JQuery с содержимым json)?

Мы используем MVC 5 и не имеем проблем со стандартными механизмами MVC для перехвата XSS («обнаружен потенциально небезопасный ввод»), но некоторые части приложения используют$.ajax отправить JSON (тип содержимого "application / json") в действие MVC. В этих ситуациях мы заметили, что обнаружение XSS не запускается и позволяет вводить опасные формы.

В нашем исследовании и исследовании подобных вопросов мы нашлиJsonValueProviderFactory в связывателе модели по умолчанию нет такого же вызова для этой безопасности XSS, который присутствует в отправке формы или вводе из строки запроса.

Несмотря на то, что очистить входные данные на стороне клиента легко, нам, очевидно, нужна также проверка сервера, чтобы сгенерировать 5xx (возможно, что-то, что я могу обернуть в фильтр, чтобы разделить его между действиями, которые могут быть затронуты), чтобы вызвать это опасное обнаружение кода. на json передал входные данные с привязкой модели по умолчанию, если это возможно, чтобы избежать повторного изобретения колеса или вставки плохо закодированного html-ввода в нашу базу данных.