问题标签 [antixsslibrary]

是否有一个库或可接受的方法来清理 html 页面的输入？

在这种情况下，我有一个只有姓名、电话号码和电子邮件地址的表格。

代码必须是 C#。

例如：

"<script src='bobs.js'>John Doe</script>"应该成为"John Doe"

使用微软的 AntiXssLibrary，你如何处理需要稍后编辑的输入？

例如：

用户输入： <i>title</i>

保存到数据库中： <i>title</i>

在编辑页面上，它会在文本框中显示如下内容： <i>title</i>因为我在显示在文本框中之前已经对其进行了编码。

用户不喜欢这样。

写入输入控件时可以不编码吗？

更新：

我仍在努力解决这个问题。下面的答案似乎是在显示之前对字符串进行解码，但这不会允许 XSS 攻击吗？

一位说可以在输入字段值中解码字符串的用户被否决了。

我意识到有几个用于 jQuery 的富文本编辑器，但我找不到任何具有关联类来执行接受输入到数据库中所需的过滤和清理。

这样的类存在吗？

我对 PHP 库特别感兴趣，但 .NET 也会很有趣。

我一直在使用Microsoft 的 AntiXss 库，想知道它的方法是否有充分的理由JavaScriptEncode将结果用单引号括起来？这种行为似乎不合常规。

我已经下载并查看了 Microsoft AntiXSS 库，但我不是 100% 确定我需要将它用于服务器控件（asp:textbox 等）。当我将它与标准 html 控件（输入等）一起使用时，一切都很好。当我在服务器控件上使用 antixss 库时，输出似乎被编码了两次。

我目前仅将 antixss 库用于标准 html 控件。我是否通过使用服务器控件免受跨站点脚本的影响，这是最佳做法吗？

我一直在阅读 Anti-XSS 安全运行时引擎，它看起来是一个很好的 Web 表单解决方案，因为它通过反射检查控件并在适当的地方自动编码数据。但是，由于我并没有真正在 ASP.NET MVC 中使用服务器端控件，因此它似乎不是 ASP.NET MVC 的可行解决方案。这是正确的还是我错过了什么？

我刚刚下载并查看了新的 MS Anti_XSS 3.0 版本。我已经阅读了帮助文件，但没有提到如何修改它使用的白名单。可以添加项目吗？可以删除物品吗？

我有一个关于 ANTIXSS 实施的问题。如果我要从页面上的文本框中读取值并将其直接存储到数据库中，然后从数据库中读取值并将其插入到文本框中，那么是否有可能在此过程中执行标签或类似内容？问候，安迪

我正在从事短期合同工作，试图修补他们遗留代码中的一些漏洞。我正在开发的应用程序是 Classic ASP (VBScript) 和 .Net 2.0 (C#) 的组合。他们购买的工具之一是 Fortify 360。

这是应用程序中当前的经典 ASP 页面：

我知道，我知道，很短而且很危险。

所以我们编写了一些（en/de）编码器和验证/验证例程：

并且 Fortify 仍然将其标记为易受 Header Manipulation 的影响。Fortify 究竟在寻找什么？

我怀疑 Fortify 正在寻找特定关键字的原因是，在 .Net 方面，我可以包含 Microsoft AntiXss 程序集并调用诸如GetSafeHtmlFragment和之类的函数，UrlEncode并且 Fortify 很高兴。

有什么建议吗？

我刚刚遇到一个问题，其答案建议使用 AntiXss 库以避免跨站点脚本。听起来很有趣，阅读msdn 博客，它似乎只是提供了一个 HtmlEncode() 方法。但我已经使用了 HttpUtility.HtmlEncode()。

为什么我要使用 AntiXss.HtmlEncode 而不是 HttpUtility.HtmlEncode？

的确，我不是第一个提出这个问题的人。而且，确实，谷歌提供了一些 答案，主要是

• 白名单而不是黑名单方法
• 0.1ms 的性能提升

嗯，这很好，但这对我意味着什么？我不太关心 0.1ms 的性能，我真的不想为我已经拥有的功能下载和添加另一个库依赖项。

是否存在 AntiXss 实现可以防止 HttpUtility 实现无法阻止的攻击的示例？

如果我继续使用 HttpUtility 实现，我是否有风险？这个“虫子”呢？