问题标签 [antixsslibrary]

Heyy all!

I'm using asp.net mvc 3 and AntiXssLibrary 4.2 and I try to encode some text with single or duble quotes and the problem is that I get ' " instead of ' or " and in Hebrew they are very useful (like רמב"ם or צ'ק). I know that there are included on the hebrew and default parameter on this method:

I try all the encoding methods with no expected result.

EDIT:

for my second problem that I try to put on my view a html string like this

and i get all the html format instead the rendered page, the problem was that microsoft move the GetSafeHtml() method to the HtmlSanitizationLibrary assembly - I find it on this answer and I download it from here. Now I can use it like this

After that of course I added the reference

Now I'm stuck with those qoutes' any help?

我正在AntiXssEncoder为使用 mvc3 和 .net4 的 Web 项目制作和设置，我已经完成了以下步骤：

• 添加AxtiXSSLibrary参考
• 创建AntiXSSEncoder派生自HttpEncoder
• 覆盖HtmlEncode方法：output.Write(Encoder.HtmlEncode(value));
• 设置为encoderType_web.config<httpRuntime encoderType="AntiXSSEncoder, MyDll"/>

XssTest<script>alert("test");</script>但是我仍然可以通过 xss 输入 ( )看到警报弹出窗口。

所以我测试并发现默认编码器不编码分配给ViewBag. 我的测试代码如下，它显示一个没有编码。

谁能给我一个答案或线索？

在我的 ASP.NET MVC 5 应用程序中，我从表单中读取一些数据，然后对后端的操作方法进行 jQuery ajax 调用，以将其保存到我的数据库中。

在表单中，如果我输入一些带有 HTML 标签的文本，我会因为 HTML 标签而收到错误消息。我得到了标准的“......潜在危险......”错误。

我正在使用 GetSafeHtmlFragment() 清理后端的数据，但是一旦数据到达我的操作方法，就会生成错误。

从客户端脚本（例如 jquery ajax 调用）向我的操作方法发送数据的正确方法是什么？我是否首先在我的 JS 事件处理程序中对数据进行 HTML 编码，然后将其发送到我的操作方法？

我想使用 Microsoft 的AntiXss库的新版本。我从 Nuget 包下载了它，但我不确定我应该从这里去哪里。没有为图书馆提供任何文档，我在网上找到的所有文章都是旧的。由于发生了很多变化，而且我想使用的几乎所有东西都在库本身中被标记为已弃用，我想知道使用这个库的最佳方式是什么？

• 我应该让它成为我的默认编码器吗？
• 我应该修改所有要使用的视图 Microsoft.Security.Application.AntiXss.HtmlEncode()吗？
• 两者都可能？

任何帮助，将不胜感激。

我想为我的项目使用Microsoft AntiXss库。当我使用该Microsoft.Security.Application.Encoder.HtmlEncode(str)功能在我的网页中安全地显示某些值时，它会对我认为安全的波斯语字符进行编码。例如，它转换لیست为لیست. 我使用了错误的功能吗？我应该如何安全地在我的页面中打印用户输入？

我目前正在这样使用它：

<h2>@Encoder.HtmlEncode(ViewBag.UserInput)</h2>

我刚刚开始使用 AntiXSS (4.3.0)，主要是按照这里@Encoder.JavaScriptEncode的描述使用。

我从 Nuget 安装了 AntiXSS，然后添加encoderType="Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"到<httpRuntime我的 Web.config 中。

在我看来，我有以下行（在<script>标签内）：

我希望输出

而是输出：

我认为这是因为 Razor 正在尝试清理 HTML，因此将单引号编码为'.

那么解决方案就是将其包装在 中Html.Raw()，但在我关注的帖子中，他从未这样做（而是在 Javascript 中用单引号将整个内容包装起来）。

我的问题是 - 你应该需要打电话@Html.Raw(Encoder.JavaScriptEncode(data))，还是我的设置有问题？

谢谢！

我知道我们可以让 ASP.NET MVC 项目使用 AntiXssEncoder 作为默认编码器，但有时我们需要在代码中显式编码/解码 html/url/js。

尽管 AntiXSS 类中几乎所有的方法都被标记为已弃用，那么在这些情况下我们应该怎么做呢？有没有其他选择，或者我们应该继续使用它们？

我使用 AntiXSS 作为我的 Asp.Net MVC 网站的默认引擎。问题是，它对波斯语字符进行编码，例如“راهنما”。我不是安全专家，但我认为这些字符很好，不会对我的网站造成问题。我想知道是否可以将它们添加到该库的白名单中，以让它们正常呈现而不是编码字符。（上面相同的文字显示为“ راهنما”）

在.Net 4.5的What's New页面中，它说您可以将encoderType设置为使用AntiXssEncoder类型。 http://www.asp.net/aspnet/overview/aspnet-and-visual-studio-2012/whats-new#_Toc318097382

但是修改默认的 encoderType 有什么好处呢？

谢谢。

我需要审查一个相当大的 .Net 4.0 项目并重构以防止 XSS 攻击。我做的第一件事是打开requestValidation网站，我还能在全球范围内做些什么，或者这将是一个遍历每个页面、验证输入和对输出进行 html 编码的情况。

有很多页面，可能还有 300 个经典的 asp 页面仍在使用中。

HtmlEncode() 可以安全使用还是我需要安装 Microsoft 的 AntiXSS 包。