3. XSS
Asegurar que todas las salidas estén codificadas como
HTML.
No permitir que el texto proporcionado por el usuario
termine en una cadena de un atributo de un elemento
HTML.
Prevenga el uso de Internet Explorer 6; para esto,
revise Request.Browser.
Conozca el comportamiento de su control y sepa si
codifica la salida como HTML. En caso contrario,
codifique los datos que van hacia el control.
Use la biblioteca Anti-Cross Site Scripting (AntiXSS)
con la funcion AntiXss.Htmlencode().
4. CSRF
La especificación de HTTP para las solicitudes
GET da a entender que las solicitudes GET
sólo se deben usar para recuperar datos y no
para modificar el estado.
Asegurar de que las solicitudes no se puedan
reproducir si un atacante usó JavaScript para
imitar una solicitud POST de un formulario.
Prevenir cualquier tipo de acciones mediante
GET. Por ejemplo, no permita la creación ni la
eliminación a través de una dirección URL.
Usar Html.AntiForgeryToken() y
ValidateAntiForgeryToken()