0

安全审计的结果显示我们的网站可能容易受到 XSS 攻击。目前,我们对此的唯一保护是在所有页面上使用默认的 ValidateRequest="true"。我一直在研究 Microsoft 的 Anti-XSS 库,在观看此视频后,我想实现安全运行时引擎模块来保护所有页面,而不是手动编码每个单独的项目[ 1 ]

我遇到的问题是使用 SRE 配置生成器生成 antixssmodule.config 文件。它正在寻找一个程序集,但我们的网站是使用网站项目而不是 Web 应用程序项目构建的,因此没有内置到程序集中。我是否仍然能够以某种方式生成配置文件以便我可以使用 SRE,或者可能有该文件的可下载版本,其中已经定义了常用的控件?

[ 1 ]我也无法使用 CAT.NET 工具来发现所有可能的漏洞,因为该工具也在寻找程序集。

4

1 回答 1

2

基本上不,没有目标程序集就无法生成,因此网站项目将无法运行。当然,您可以使用默认的 web.config 来获取所有 Microsoft Web 控件(我相信)。

但是,SRE 是针对易受攻击的网站的补丁,直到您可以修复它们,它不是永久的解决方案。更好的方法是解决潜在问题并确保在将所有不受信任的输入输出到浏览器之前对其进行编码。

于 2010-12-03T17:34:01.723 回答