反 XSS 库 - 与 ASP .Net 网站(相对于 Web 应用程序)一起使用?
安全审核结果显示,我们的网站可能容易受到 XSS 攻击。目前,我们对此的唯一保护是在所有页面上使用默认的 ValidateRequest="true"。我一直在研究 Mic…
IE8 window.open 名称 - 不喜欢 JavaScript 编码?
我这样调用 window.open() : window.open('blank.html', 'New_Window\x3a_Jamie', 'width=800,height=800') 我在代码中所做的就是获取窗口的名称,然…
我应该使用哪个 Anti-XSS 库? Microsoft XSS 4.0、Codeplex 上的 Web 保护库还是其他?
看来 Microsoft 今天更新了 Anti XSS 库: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f4cd231b-7e06-445b-bec7-343e5884e651 此…
Microsoft AntiXSS - 是否需要解码?
HttpUtility 类提供编码和解码。但是,当我使用 MS AntiXSS 3.1 库时,我有一组仅用于编码的方法,这是否意味着可以避免解码? 例如 ,应用 AntiXSS …
AntiXss.UrlEncode 与 AntiXss.HtmlAttributeEncode 在链接中的使用(a href)
根据 MSDN 上的旧 AntiXss 文章,使用 AntiXss.UrlEncode对链接 href 进行编码(以下示例中的不受信任输入): <a href="http://search.msn.com/res…
添加 Anti-XSS 后 VS 2008 崩溃
您好,我正在使用 Visual Studio 2008 和 asp.net mvc 2。我需要反 xss 库来清理由富文本编辑器(轻量级 RTE)生成的输入。 我想使用 AntiXss.GetSafe…
ASP.NET MVC 2 - AntiXSS 与内置 MVC 编码
既然 MVC 已经引入了 HTML 编码,那么 <%: blah %> 使用它还有价值吗 <%= AntiXSS.HTMLEncode(blah) %> ? 例如:我的应用程序将获取所有内容…
强化和 AntiXSS
我的公司要求我们的 ASP.NET 代码在发布代码之前通过 Fortify 360 扫描。我们随处使用 AntiXSS 来净化 HTML 输出。我们还验证输入。不幸的是,他们最…
<%:%> VS 微软的反 XSS 库
.net 4 中有一个新的 <%: %>脚本封装类似于 <%= %>但会进行 html 编码。人们鼓励使用这种新语法。 我的问题是,<%: %> 吗?更好地防御 XS…
如何在 XML 属性内对 JavaScript 文本进行编码?
我有一段 JavaScript 字符串,来自不受信任的来源,嵌入在 onclick 标记内,我不确定编码该字符串的正确方法是什么。以下是 HTML 的简化: <input t…
XSS - SQL 注入 - Owasp、AntiXss 与 Microsoft 反跨站脚本库
我们正在考虑使用一个库来帮助我们检测 SQL 注入。 我们正在使用存储过程和参数化语句,但为了这篇文章,我们仅使用一些检测/验证用户输入的库。 最…
从文本框中读取或插入文本框时可以执行 HTML 吗?
我有一个关于 ANTIXSS 实施的问题。 如果我要从页面上的文本框中读取值并将其直接存储到数据库中,然后从数据库中读取值并将其插入到文本框中,那么是…
MS Anti_XSS Library 3.0可以配置白名单吗?
我刚刚下载并查看了新的 MS Anti_XSS 3.0 版本。 我已经阅读了帮助文件,但没有发现如何修改它使用的白名单。 可以添加物品吗? 可以删除物品吗?…
