<％：％> VS 微软的反 XSS 库

Question

.net 4 中有一个新的 <%: %>脚本封装类似于 <%= %>但会进行 html 编码。人们鼓励使用这种新语法。

我的问题是，<%: %> 吗？更好地防御 XSS 还是使用 Microsoft Anti XSS 库？

一位 Microsoft 安全人员曾经告诉我永远不要只使用 HTML Encode，因为它不能很好地提供保护，并且我应该始终使用 Anti XSS 库（或其他库）。 <%: %> 仍然如此吗？或者我可以自信地使用 <%: %>知道它会像人们所说的那样保护我的应用程序免受 XSS 攻击吗？

Answer 1

HttpUtility.HtmlEncode使用黑名单（排除原则）方法进行编码，这可能为将来新发现的漏洞敞开大门。 Anti-XSS 库（现在称为 Web 保护库，包含代码为了减轻 SQL 注入）使用白名单方法（包含原则），这进一步关闭了大门，并且应该提供更好的安全性。

<%: ... %> 只是 <%= Server.HtmlEncode(string) %> 的快捷方式，因此提供了编码器的安全性在您的应用程序中使用。

您可以使用任何您喜欢的编码器和新的 <%: ... %> 语法，Phil Haack 在 将 Anti-Xss 库连接为默认编码器。请记住，当前 Anti-XSS 库 3.1 需要中等信任才能运行 - 这将在未来版本中解决。

Answer 2

新语法只能用于转义 HTML 中的原始文本内容。 编辑：和属性。

对于 attributes、 Javascript 和其他上下文，您仍然应该使用 Anti-XSS 库，