<%:%> VS 微软的反 XSS 库
.net 4 中有一个新的 脚本封装类似于 但会进行 html 编码。人们鼓励使用这种新语法。 我的问题是, 吗?更好地防御 XSS 还是使用 Microsoft Anti XSS …
如何在 XML 属性内对 JavaScript 文本进行编码?
我有一段 JavaScript 字符串,来自不受信任的来源,嵌入在 onclick 标记内,我不确定编码该字符串的正确方法是什么。以下是 HTML 的简化:
XSS - SQL 注入 - Owasp、AntiXss 与 Microsoft 反跨站脚本库
我们正在考虑使用一个库来帮助我们检测 SQL 注入。 我们正在使用存储过程和参数化语句,但为了这篇文章,我们仅使用一些检测/验证用户输入的库。 最…
从文本框中读取或插入文本框时可以执行 HTML 吗?
我有一个关于 ANTIXSS 实施的问题。 如果我要从页面上的文本框中读取值并将其直接存储到数据库中,然后从数据库中读取值并将其插入到文本框中,那么是…
MS Anti_XSS Library 3.0可以配置白名单吗?
我刚刚下载并查看了新的 MS Anti_XSS 3.0 版本。 我已经阅读了帮助文件,但没有发现如何修改它使用的白名单。 可以添加物品吗? 可以删除物品吗?…
我应该在 ASP.NET MVC 中使用 Anti-XSS 安全运行时引擎吗?
我一直在阅读 Anti-XSS 安全运行时引擎,它看起来是一个很好的 Web 表单解决方案,因为它通过反射检查控件并在适当的情况下自动编码数据。 然而,由于…
AntiXss.JavaScriptEncode 将结果用单引号括起来是否有充分的理由?
我一直在使用 Microsoft 的AntiXss 库 并想知道它的 JavaScriptEncode 方法是否有充分的理由将结果用单引号括起来? 这种行为似乎很不寻常。…
Javascript 富文本编辑器和关联类来过滤和清理输入?
我意识到有几个适用于 jQuery 的富文本编辑器,但我找不到任何具有关联类的关联类,该类可以执行接受数据库输入所需的过滤和清理。 存在这样的类吗? …
如何处理需要编辑的编码输入?
使用微软的AntiXssLibrary,您如何处理稍后需要编辑的输入? 例如: 用户输入: title 保存到数据库为: title 在编辑页面上,文本框中显示如下内容:…
如何使用 C# 清理 html 页面上的输入?
是否有一个库或可接受的方法来清理 html 页面的输入? 在本例中,我有一个只有姓名、电话号码和电子邮件地址的表单。 代码必须是 C#。 例如: "John D…
