Microsoft AntiXSS wpl 在 asp.net mvc3 应用程序中使用

Question

据我所知 asp.net mvc3 相当安全，但是有什么地方可以使用 Microsoft AntiXSS 库来获得更高的安全性？ http://wpl.codeplex.com/

我如何在我的应用程序中找到可以使用它的任何地方？也许有人可能会发现这个库可以在 asp.net mvc3 中使用？

Answer 1

好吧，作为 AntiXSS 的所有者，我显然会说是的。不过我有偏见:)

AntiXSS 为您提供了

• 更多编码选项 - 包括 CSS、JavaScript 和 LDAP 编码（如果您从代码中查询 AD）
• 安全列表，而不是不安全列表。这本质上更安全，但速度更慢。虽然默认的 .NET 黑名单已经足够好了，但它也取决于您的系统如何处理输入。

现在，通过 AntiXSS 4.1，您可以轻松地将 AntiXSS 插入 MVC 并用作默认编码器。目前这是一个测试版，代码可供下载，以及有关如何更换编码器的有限说明。您应该会在 11 月之前看到发布。

Answer 2

这取决于您尝试收集的用户输入数据的使用方式以及您是否已告知应用程序允许 HTML。

就我个人而言，我会在输入允许输入 HTML 并稍后在网站上重新显示的地方使用 AntiXss 库，但否则，如果您没有告诉它允许输入 HTML，MVC3 将很好地阻止 HTML。