问题标签 [antixsslibrary]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - 反 XSS 库 - 与 ASP .Net 网站(与 Web 应用程序)一起使用?
安全审计的结果显示我们的网站可能容易受到 XSS 攻击。目前,我们对此的唯一保护是在所有页面上使用默认的 ValidateRequest="true"。我一直在研究 Microsoft 的 Anti-XSS 库,在观看此视频后,我想实现安全运行时引擎模块来保护所有页面,而不是手动编码每个单独的项目[ 1 ]。
我遇到的问题是使用 SRE 配置生成器生成 antixssmodule.config 文件。它正在寻找一个程序集,但我们的网站是使用网站项目而不是 Web 应用程序项目构建的,因此没有内置到程序集中。我是否仍然能够以某种方式生成配置文件以便我可以使用 SRE,或者可能有该文件的可下载版本,其中已经定义了常用的控件?
[ 1 ]我也无法使用 CAT.NET 工具来发现所有可能的漏洞,因为该工具也在寻找程序集。
asp.net - 使用 AntiXss 库编码的问题
我正在使用 AntiXss 库 4.0 在显示在 asp 页面上之前对文本进行编码。
这是asp代码。在我正在写的 PageLoad
这里,当标签中的文本被渲染时,它显示&为&,但在Listbox的情况下,&被渲染为&。但是,我希望它被呈现为 & 甚至在列表框中。这该怎么做?谢谢,阿什瓦尼
c# - 为什么 MS 反 xss 库 (v4) 删除 html 5 数据属性
AntiXss 库似乎剥离了 html 5 数据属性,有人知道为什么吗?
我需要保留这个输入:
使用anti xss库(v4.0)的主要原因是为了确保不解析无法识别的样式属性,这甚至可能吗?
代码:
编辑:
下面的输入将导致整个样式属性被删除
输入:
输出:
这很好,如果有人在客户端弄乱我的代码,但我还需要数据属性标签才能工作!
asp.net-mvc-3 - AntiXss 库无法正常工作
我正在使用 AntiXssLibrary 4.0,但它没有转义 \x3c。我的错误是什么?
HttpEncoder我已根据此处http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx将 AntiXss 配置为默认值并设置在. encoderType_httpRuntimeweb.config
我也创建AntiXSSEncoder派生自HttpEncoder但不推荐使用
我用它来覆盖HtmlEncode方法:
目前,如果我浏览这个:
警报“haaha”显示 AntiXss 库不工作。我只想制作这样的节目http://channel9.msdn.com/Events/MIX/MIX10/FT05见第 13 分钟。
为了确认我还在一个动作中设置了这个:
然后在视图中我放了这个:
从浏览器看,a 和 b 的值相同,说明 AntiXss 不能正常工作!
更新AntiXssEncoder:仅在我使用as 编码器类型时才发生。当我对此发表评论并重建时。单引号 ' 被 MVC 转义。似乎已禁用 AntiXss!我错过了什么吗?我想要这个工作,因为我想像 \x3c 也像视频一样逃脱。
asp.net - ASP.NET 4 MetaKeywords 和 MetaDescription 被编码
我正在使用 ASP.NET 4MetaKeywords并MetaDescription在每个页面上设置适当的元标记。我还使用 Anti XSS 库作为应用程序中的默认编码器。
标签最终呈现为:
AntiXssLibrary设置为默认值如下web.config:
以这种方式对它们进行编码是否存在问题,有什么办法可以摆脱这种编码吗?
asp.net - 如何使用微软的 WPL / Anti-XSS 作为默认的 HTTPEncoder?
我想使用Microsoft 的 WPL AntiXSS 库作为默认的 HTTPEncoder,如 haacked 中所述,但本文档适用于 WPL 3.1,并且我已经阅读到最新的 WPL 4.0 中的 HTTPEncoder 发生了变化。实现它以便自动编码所有输入字段的最佳方法是什么?谢谢!
screen-scraping - 从外部网站渲染图像时如何防止 XSS 攻击
我公司将允许客户在我们的网站上发表建议。此功能与 facebook 分享链接非常相似。我们的客户将输入一个 URL,我们将抓取网站、检索图像、描述并将描述和图像 url 保存在我们的数据库中,以供其他客户稍后查看。
我们没有资源来保存/操作外部图像,除非现在绝对有必要,我们希望保存图像 url 并在加载时渲染它。
该功能已经实现,但我有一些顾虑,希望得到一些专家的帮助,以确保我可以防止任何问题的发生。
场景 1 客户 A,从包含大型高质量图像的网站发布 5 条建议。我可以防止网站在我第一次从网站渲染和检索这些图像时受到性能影响吗?只要我保留对原始网站的引用,你知道保存本地副本是否违法吗?我也反对盗链,但不确定在我的硬盘中保留一份副本是否是个好主意。我注意到 facebook 不会保存它们,它们总是渲染图像,我相信他们会这样做,因为这是正确的做法。
b) 客户 B 滥用此功能,他实际上尝试进行 XSS 攻击我如何利用 Anti-XSS 4.0 来确保客户不会尝试 xss 攻击,对输出进行编码就足够了?还有其他我不知道的安全风险吗?
谢谢你的帮助!
passwords - 更改密码表单如何防止反xss
好的,这是一个基本的密码更改表单,我该如何清理这个输入?使用 AntiXSS HtmlEncode 是否安全?我想确保编码不会改变随机输入的字符
最好的方法是什么?
请指教
asp.net - ASP.Net 是否有任何反 XSS 库?
我正在阅读一些问题,试图找到一个很好的解决方案来防止用户提供的 URL(变成链接)中的 XSS。我为 PHP 找到了一个,但我似乎无法为 .Net 找到任何东西。
明确地说,我想要的只是一个库,它将使用户提供的文本安全(包括 unicode 陷阱?)并使用户提供的 URL 安全(用于a或img标签)
我注意到 StackOverflow 具有非常好的 XSS 保护,但遗憾的是,MarkdownSharp 似乎缺少他们的 Markdown 实现部分。(我的很多内容都使用 MarkdownSharp)
security - 通过 ASP.NET 4 <%: %> 或 Razor 编码获取但被 AntiXSS 捕获的 XSS 漏洞示例
我正在寻找一个 XSS 漏洞示例,该漏洞只需使用 AntiXSS Encoder 4.1 Beta 作为运行时编码器(在 system.web/httpRuntime 中设置)即可停止。我更喜欢不需要任何显式调用 AntiXss 函数的东西,例如
我在想一些可以通过 ASP.NET 黑名单但不会通过 AntiXSS 白名单的东西,也许与备用字符集或编码有关?
我已经测试了 UTF-7 漏洞,但没有发现任何似乎影响现代浏览器的漏洞。