Existe uma maneira de chamar manualmente a detecção XSS do MVC, como de um filtro, nos casos em que o json é postado em uma ação do MVC (como $ .ajax post do JQuery com conteúdo do json)?

Estamos usando o MVC 5 e não temos problemas com os mecanismos padrão do MVC para capturar XSS ("entrada potencialmente insegura detectada"), mas algumas partes do aplicativo usam$.ajax postar JSON (tipo de conteúdo "application / json") em uma ação MVC. Nessas situações, notamos que a detecção de XSS não é executada e permite a entrada de formulários perigosos.

Em nossa investigação e pesquisa de questões semelhantes aqui, encontramosJsonValueProviderFactory no fichário do modelo padrão, não há a mesma chamada para essa segurança XSS que está presente nos envios de formulários ou na entrada da sequência de consultas.

Embora seja fácil higienizar a entrada do lado do cliente, obviamente também precisamos de uma validação do servidor para gerar um 5xx (possivelmente algo que eu possa envolver em um filtro para compartilhar ações que possam ser afetadas) para forçar essa detecção perigosa de código on json enviou entrada com ligação padrão do modelo, se possível, para evitar reinventar a roda ou inserir entradas ruins codificadas em html em nosso banco de dados.