问题标签 [antixsslibrary]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
xss - XSS - SQL 注入 - Owasp vs AntiXss Vs Microsoft 反跨站点脚本库
我们正在考虑使用一个库来帮助我们检测 SQL 注入。
- 我们正在使用 sprocs 和参数化语句,但是为了这篇文章,我们只使用了一些检测/验证用户输入的库。
什么是最好的?最容易实施?最容易更新/管理?为什么偏爱一个而不是另一个?
附带说明:
我刚刚开始使用Owasp。用 C#。我希望在验证时会有更多的默认规则。使用 isValid 函数时,只有 5 个默认规则。
CREDIT_CARD -- 信用卡验证规则的规则名称键。DATE -- 日期验证规则的规则名称键。DOUBLE -- 双重验证规则的规则名称键。INTEGER -- 整数验证规则的规则名称键。PRINTABLE -- 可打印验证规则的规则名称键。
我希望字符串 SQL 注入检测会有更多的默认规则。
谢谢
.net - 为什么要使用 Microsoft AntiXSS 库?
当您可以简单地使用 对数据进行编码时HttpUtility.HtmlEncode,我们为什么要使用AntiXss.HtmlEncode?
为什么白名单方法比黑名单方法更好?
另外,在 Anti XSS 库中,我在哪里指定白名单?
.net - 使用 MS Anti XSS 库清理 HTML
为了防止 XSS 攻击,我正在更新一个页面,其中我们有一个接受 HTML 的文本框,将其存储在数据库中,并在以后检索和呈现它。
我的理解是我可以使用AntiXSS.GetSafeHtmlFragment()方法清理 HTML。只要我在将 HTML 存储在数据库中之前执行此操作,我就被覆盖了吗?在网页上输出 HTML 时,我需要做什么吗?
此外,白名单似乎是一种黑匣子。有没有办法根据我们的要求更新它?
asp.net-mvc - 关于在 ASP.NET MVC 中放置 AntiXSS 调用的位置的建议
我试图在我的 ASP.NET MVC 应用程序中找到防止跨站点脚本的最佳方法。我计划使用 Microsoft 的 AntiXSS 库并从本质上保护两个级别:1)保护常规文本框(即那些应该只包含纯文本的文本框和 2)保护可以生成 HTML 的富文本框。库本身非常简单,但我很难决定在哪里放置验证。我正在使用强类型 HTML 帮助程序并直接绑定我的模型/视图模型,并希望避免在每个操作方法中单独应用 AntiXSS。此外,绝对不想在我的发布操作上关闭 validateinput,如果我在我的模型/视图模型的属性之一中传递 HTML,这是一个要求。
是否可以在 ASP.NET MVC 中注入 AntiXSS,以便在渲染视图(解码)和进入操作过滤器(编码)之前应用它?
提前致谢
asp.net - 在存储到数据库之前或渲染之前清理 HTML?(ASP.NET 中的反 XSS 库)
我有一个编辑器,允许用户添加存储在数据库中并呈现在网页上的 HTML。由于这是不受信任的输入,我计划使用它Microsoft.Security.Application.AntiXsSS.GetSafeHtmlFragment来清理 HTML。
- 我应该在保存到数据库之前还是在将不受信任的输入呈现到网页之前进行消毒?
- 在我的项目中包含 AntiXSS 源代码而不仅仅是 DLL 是否有优势?(也许我可以自定义白名单?)
- 我应该在哪个类文件中查找 GetSafeHtmlFragment 的实际实现
.net - 如何在 XML 属性中编码 JavaScript 文本?
我有一段 JavaScript 字符串,来自不受信任的来源,嵌入在 onclick 标记中,我不确定编码该字符串的正确方法是什么。这是 HTML 的简化:
我使用包含多种编码方法的Microsoft AntiXss 库。文本嵌入在 HTML/XML 属性中,因此使用AntiXss.XmlAttributeEncode方法对 XML 属性进行编码似乎很合适。但是,它也是一段 JavaScript。因此,使用AntiXss.JavascriptEncode方法的 JavaScript 编码 似乎也很合适。
我应该选择哪种方式,既不暴露安全漏洞,又允许正确显示文本?
更新: 我目前使用的解决方法是
XmlAttributeEncode在此文本上使用并将其放在标签的自定义属性中。之后,我使用一些 JavaScript 从这个标签中读取它。它基本上看起来像这样:
虽然这完美地工作并解决了问题,但我仍然很好奇如何在 XML 属性中正确编码 JavaScript。
.net - 在 SQL 服务器中存储 WMD 输入/降价并稍后显示的最佳方法是什么?
我正在考虑在我的项目中使用 WMD,而不是我现有的 RadEditor。我一直在阅读一些关于如何存储和检索数据的帖子,我想在继续之前确保我的概念是正确的。
如果我的研究是正确的,这就是我应该做的。
- 我应该将编辑器数据存储两次(一次作为 HTML,一次作为 Markdown)
- 我应该在存储之前通过白名单运行 HTML。
- 我应该在退出时通过 AntiXSS 运行 HTML(在显示之前)
- 我应该只使用 Markdown 数据来重新填充 Markdown 进行编辑。
如果这是正确的,任何人都可以确认或否认,并在这个主题上添加任何有用的输入吗?
参考
重新格式化我的代码:清理 Html
StackOverflow:如何在 asp net
StackOverflow 中使用 wmd 存储降价:在存储到 db 或呈现 antixss 库之前清理 html
StackOverflow:将 html 实体存储在数据库中或在检索时进行转换
asp.net - <%: %> vs 微软反 XSS 库
.net 4 有一个新的 <%: %> 脚本附件,它类似于 <%= %> ,但执行 html 编码。人们鼓励使用这种新语法。
我的问题是,<%: %> 是否可以更好地防止 XSS,或者与使用 Microsoft Anti XSS 库一样好?
一位微软安全人员曾经告诉我不要只使用 HTML 编码,因为它不能很好地保护,我应该始终使用 Anti XSS 库(或其他库)。<%: %> 仍然如此吗?或者我可以自信地使用 <%: %> 知道它会像人们所说的那样保护我的应用免受 XSS 攻击吗?
c# - html 敏捷包与 antixss
在我看来,仅使用 html 敏捷包就可以防止 xss(解析然后获取内部文本)。使用hap后使用antixss会重复吗?
谢谢,杆。
c# - Fortify 和 AntiXSS
我的公司要求我们的 ASP.NET 代码在发布代码之前通过 Fortify 360 扫描。我们在任何地方都使用 AntiXSS 来清理 HTML 输出。我们还验证输入。不幸的是,他们最近更改了 Fortify 使用的“模板”,现在它将我们所有的 AntiXSS 调用标记为“验证不良”。这些调用正在执行诸如 AntiXSS.HTMLEncode(sEmailAddress) 之类的操作。
任何人都确切地知道什么会满足 Fortify?它标记的很多内容都是输出值来自数据库,而根本不是来自用户,所以如果 HTMLEncode 不够安全,我们不知道是什么!