反 XSS 库 - 与 ASP .Net 网站（相对于 Web 应用程序）一起使用？

Question

安全审核结果显示，我们的网站可能容易受到 XSS 攻击。目前，我们对此的唯一保护是在所有页面上使用默认的 ValidateRequest="true"。我一直在研究 Microsoft 的 Anti-XSS 库，并在观看 此视频 我想实施安全运行时引擎模块来保护所有页面，而不是手动编码每个单独的项目[1]。

我遇到的问题是使用 SRE 配置生成器生成 antixssmodule.config 文件。它正在寻找程序集，但我们的网站是使用网站项目而不是 Web 应用程序项目构建的，因此未构建到程序集中。我是否仍然能够以某种方式生成配置文件以便我可以使用 SRE，或者也许该文件有一个可下载版本，其中已定义了常用控件？

[1] 我也无法使用 CAT.NET 工具来发现所有可能的漏洞，因为该工具也在寻找程序集。

Answer 1

基本上不行，没有目标程序集就无法生成，因此网站项目将无法工作。当然，您可以使用默认的 web.config 来获取所有 Microsoft Web 控件（我相信）。

然而，SRE 的目的是作为易受攻击的网站的补丁，直到您修复它们为止，这并不是一个永久的解决方案。更好的方法是解决根本问题，并确保在将所有不受信任的输入输出到浏览器之前对其进行编码。