¿Hay alguna manera de llamar manualmente a la detección XSS desde MVC, como desde un filtro, en los casos en que json se publica en una acción MVC (como $ .ajax post de JQuery con contenido json)?

Estamos usando MVC 5 y no tenemos problemas con los mecanismos MVC estándar para capturar XSS ("entrada potencialmente insegura detectada"), pero algunas partes del uso de la aplicación$.ajax para publicar JSON (tipo de contenido "aplicación / json") en una acción MVC. En estas situaciones, notamos que la detección XSS no se ejecuta y permite la entrada de formularios peligrosos.

En nuestra investigación e investigación de preguntas similares aquí, encontramosJsonValueProviderFactory dentro del archivador de modelo predeterminado no tiene la misma llamada para esta seguridad XSS que está presente en los envíos de formularios o la entrada de la cadena de consulta.

Si bien es fácil desinfectar la entrada en el lado del cliente, obviamente también necesitamos una validación del servidor para arrojar un 5xx (posiblemente algo que pueda envolver en un filtro para compartir entre acciones que podrían verse afectadas) para forzar esta detección de código peligroso en json envió una entrada con el enlace del modelo predeterminado si es posible para evitar reinventar la rueda o insertar una entrada incorrecta codificada en html en nuestra base de datos.