Прочитал перевод статейки на МСДН Защита ваших приложений ASP.NET и в очередной раз убедился что нельзя читать переводы на МСДН
- во первых: переводчик работал как Google Translate - моя читал моя писал
- во вторых: гдето по пути растерял смысл и после прочтения ее вообще ничего не понятно

автор не удосужился объяснить как произвести атаку - отсюда неясно как и защищаться

Перво что мутно описывается в статье (описываю не так как в статье, а так как понятно)
- что на клиенте перед отсылкой на сервер данных необходимо выполнить UrlEncode(...) а на сервере раскодировать их, но при использовании данных в элементах системы не выполняющих экранирование (вставка в поле базы данных без санации, присваивание HtmLabel неHTMLкодированной строки...) опять таки делать HtmlEncode.
- на клиенте при выводе на страницу введенных данных опять таки обязательно необходимо произвести их санацию

Это просто и понятно, но вот вторая тема осталась абсолютно не раскрытой и вызывает вопросы

Уважаемые гуру, проясните пожалуйста что такое подделка кросс-сайтовых запросов?
когда она возможна?
какие методы защиты?
как планировать работу с ресурсами на сервере при помощи Ajax чтобы избежать подделки кросс-сайтовых запросов?

Спасибо

ShSergeПрочитал статью. Там не о том написано. Там говорится о проблеме редактирования статей. Бороться с этим вообще элементарно. Проверяйте текст, который пришёл на сервер на "<script". Если имеется такое сочетание буков - то сразу нафиг.

Ну об этом я написал - это в первой части статьи, а вот о чем 2я часть??

bazile OWASP Top 10 for .NET developers part 5: Cross-Site Request Forgery (CSRF)

Спасибо за ссылку! почитаю