问题标签 [antixsslibrary]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - 我需要antixss来打印报告吗
我有一个报告网页,允许您将显示的记录导出到 Excel 文件。我正在使用 AntiXss 在屏幕上显示它们,但是当用户选择导出到文件并且我再次从 db 获取记录时,我是否需要使用 AntiXss 来清理以进行报告?
谢谢,
竿。
asp.net-mvc-2 - ASP.NET MVC 2 - AntiXSS 与内置 MVC 编码
现在 MVC 已经通过
使用还有价值吗
反而?
例如:我的应用程序将获取所有内容(包括 JavaScript)并将其以原始状态存储在数据库中。我计划使用类似的东西简单地输出<%: model.Name %>所有内容,并依靠 MVC“东西”为我进行编码。
该方法是否足够安全以依赖于 AntiXSS,还是我需要明确使用 AntiXSS 库?如果我需要使用 AntiXSS 库,请问为什么不将这种东西内置到 MVC 中?
asp.net - ASP.net 与 AntiXss Lib 中的反 XSS 支持
ASP.net 提供的 XSS(跨站点脚本)支持与 AntiXss 有何不同。AntiXss 是一个微软库,用于保护您的站点免受 XSS 攻击。这两个 API 看起来几乎相似,并且看起来可以通过在代码文件中进行查找替换轻松地将它们从一个切换到另一个。
哪一个提供更多针对 XSS 的安全性?是否建议使用 ASP.net 提供的内在支持?
asp.net-mvc - 添加 Anti-XSS 后 VS 2008 崩溃
您好,我正在使用带有 asp.net mvc 2 的 Visual Studio 2008。我需要反 xss 库来清理由富文本编辑器(轻量级 RTE)生成的输入。我想使用 AntiXss.GetSafeHtmlFragment(input); 功能。
问题是在我引用反 xss dll 后 VS 2008 崩溃(它在第一次工作正常但它崩溃了)。
有人如何解决这个问题吗?如果没有,有人可以指出一个可行的替代方案(我尝试在允许白名单的同时使用 html 敏捷包,但我只设法允许没有属性的标签)。
html 敏捷过滤器的代码 -
谢谢!
asp.net - AntiXss.UrlEncode 与 AntiXss.HtmlAttributeEncode 在链接中的用法(a href)
根据MSDN AntiXss.UrlEncode 上的旧 AntiXss 文章,AntiXss.UrlEncode 用于对链接 href 进行编码(以下示例中的 Untrusted-input):
我的理解是,只有在将某些内容设置为 URL 时才应使用 UrlEncode,例如在使用 JS 设置 document.location 时。那么为什么我不使用前面例子中的 HtmlAttributeEncode 来编码 [Untrusted-input] 呢?另一方面,如果我使用 UrlEncode 来编码上面示例中的 HTML 属性,是否存在安全漏洞?
c# - Microsoft AntiXSS - 是否需要解码?
该类HttpUtility提供编码和解码。但是,当我使用 MS AntiXSS 3.1 库时,我有一组仅用于编码的方法,这是否意味着可以避免解码?
例如
在应用 AntiXSS 之前:
应用 AntiXSS 后:
因此,在应用编码之后,HTML 标记会显示在我的 Label 控件中。
这是期望的结果吗?
javascript - 我应该使用哪个 Anti-XSS 库?Microsoft XSS 4.0、Codeplex 上的 Web 保护库还是其他?
好像微软今天更新了 Anti XSS 库:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f4cd231b-7e06-445b-bec7-343e5884e651
此外,还有一个新版本的 Web 保护库
这两个下载是一样的吗?我应该使用什么 XSS 库?
还有其他我应该考虑的吗?
apache-flex - Flash 对 XSS 攻击有多脆弱?
我问的原因是我告诉我们的供应商他们必须将 MS AntiXSS 库与他们制作的 ASP.NET UI 组件一起使用,但他们也与 Flex 一起构建基于 Flash 的 UI - 我想知道是否Flash 有一个等价物(假设它是 vunerable)。
utf-8 - 如何让 Microsoft 的 AntiXss 库将 URLEncode 转换为 URI 标准 (RFC3986) 而不是 IRI (RFC3987)?
我正在使用 Microsoft AntiXss 3.1 库。我们有许多使用非拉丁文字的国际网站。我们使用的是对 SEO 友好的 URL,因此我们在 URL 中包含非 ASCII 字符。
AntiXss.UrlEncode(至少在 3.1 中)将“国际字符”视为安全的,因此我们最终使用 IRI 而不是 URI:
HttpUtility.UrlEncode 为 URI (RFC3986) 生成正确的编码:
但我宁愿遵循我们使用 AntiXss 库的标准。
我知道 AntiXss/WPL 4.0 已经发布(并且默认情况下似乎不再将国际字符视为安全),但它更改了 API 名称,因此我必须对我们的应用程序进行重大更改才能升级。
因此,我很乐意回答以下任何问题:
- 如何哄 AntiXss 做一个与 Uri 标准兼容的 UrlEncode。
- 一些保证,如果我们使用 AntiXss 库的 IRI 兼容输出(这是更可取的),我们不会设置自己与泰国(或其他任何地方)的旧代理服务器的兼容性问题 - 我们可以针对我们的浏览器矩阵进行测试,但不是我们与客户之间可能存在的所有中间网络设备)。
- HttpUtility.UrlEncode 是我们应该使用的,它的安全性并不明显低于 AntiXss.UrlEncode。
- 还有一些我没有考虑过的更好的解决方案。
谢谢
javascript - IE8 window.open 名称 - 不喜欢 JavaScript 编码?
我这样调用 window.open() :
我在代码中所做的是获取窗口的名称,然后 JavaScript 使用Microsoft Web Protection library对其进行编码。我还用下划线替换空格,因为我读到 IE 不喜欢窗口名称中的空格。仅供参考,原始字符串是“新窗口:杰米”,看起来“:”被编码为“\x3a”。该窗口在 FireFox 中打开得很好,但在 IE8 中没有打开该窗口。IE8 只是不喜欢这种编码,还是字符或什么?关于 IE8 的窗口名称中可以出现哪些字符是否有规则?