我应该使用哪个 Anti-XSS 库? Microsoft XSS 4.0、Codeplex 上的 Web 保护库还是其他?
看来 Microsoft 今天更新了 Anti XSS 库: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f4cd231b-7e06-445b-bec7-343e5884e651 此…
Microsoft AntiXSS - 是否需要解码?
HttpUtility 类提供编码和解码。但是,当我使用 MS AntiXSS 3.1 库时,我有一组仅用于编码的方法,这是否意味着可以避免解码? 例如 ,应用 AntiXSS …
AntiXss.UrlEncode 与 AntiXss.HtmlAttributeEncode 在链接中的使用(a href)
根据 MSDN 上的旧 AntiXss 文章,使用 AntiXss.UrlEncode对链接 href 进行编码(以下示例中的不受信任输入): Click Here! 我的理解是,仅在将某些内…
添加 Anti-XSS 后 VS 2008 崩溃
您好,我正在使用 Visual Studio 2008 和 asp.net mvc 2。我需要反 xss 库来清理由富文本编辑器(轻量级 RTE)生成的输入。 我想使用 AntiXss.GetSafe…
ASP.NET MVC 2 - AntiXSS 与内置 MVC 编码
既然 MVC 已经引入了 HTML 编码,那么 使用它还有价值吗 ? 例如:我的应用程序将获取所有内容(包括 JavaScript)并将其以其原始状态存储在数据库中…
强化和 AntiXSS
我的公司要求我们的 ASP.NET 代码在发布代码之前通过 Fortify 360 扫描。我们随处使用 AntiXSS 来净化 HTML 输出。我们还验证输入。不幸的是,他们最…
<%:%> VS 微软的反 XSS 库
.net 4 中有一个新的 脚本封装类似于 但会进行 html 编码。人们鼓励使用这种新语法。 我的问题是, 吗?更好地防御 XSS 还是使用 Microsoft Anti XSS …
如何在 XML 属性内对 JavaScript 文本进行编码?
我有一段 JavaScript 字符串,来自不受信任的来源,嵌入在 onclick 标记内,我不确定编码该字符串的正确方法是什么。以下是 HTML 的简化:
XSS - SQL 注入 - Owasp、AntiXss 与 Microsoft 反跨站脚本库
我们正在考虑使用一个库来帮助我们检测 SQL 注入。 我们正在使用存储过程和参数化语句,但为了这篇文章,我们仅使用一些检测/验证用户输入的库。 最…
从文本框中读取或插入文本框时可以执行 HTML 吗?
我有一个关于 ANTIXSS 实施的问题。 如果我要从页面上的文本框中读取值并将其直接存储到数据库中,然后从数据库中读取值并将其插入到文本框中,那么是…
MS Anti_XSS Library 3.0可以配置白名单吗?
我刚刚下载并查看了新的 MS Anti_XSS 3.0 版本。 我已经阅读了帮助文件,但没有发现如何修改它使用的白名单。 可以添加物品吗? 可以删除物品吗?…
我应该在 ASP.NET MVC 中使用 Anti-XSS 安全运行时引擎吗?
我一直在阅读 Anti-XSS 安全运行时引擎,它看起来是一个很好的 Web 表单解决方案,因为它通过反射检查控件并在适当的情况下自动编码数据。 然而,由于…
AntiXss.JavaScriptEncode 将结果用单引号括起来是否有充分的理由?
我一直在使用 Microsoft 的AntiXss 库 并想知道它的 JavaScriptEncode 方法是否有充分的理由将结果用单引号括起来? 这种行为似乎很不寻常。…