问题标签 [antixsslibrary]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
.net - 如何使用 AntiXSS 但保持输出可读?
我正在使用 Microsoft 的 AntiXSS 库对网页上显示的内容进行 HtmlEncode。
问题是它的编码比我想要的要多。例如,它对冒号“:”进行编码。
有没有办法进行 HtmlEncode,但不是某些字符?
一个例子是,如果我有一个类似“RE:电子邮件主题行”的字符串,是否可以使用 AntiXSS 库对该字符串进行编码,但不会显示为“RE: 电子邮件主题行”。我希望“:”出现,但仍想对输出进行编码。
更新:问题是我使用的是 Razor 并且“@”已经对输出进行了编码。因此,通过使用“@”和 AntiXSS Html.Encode 调用,我是双重编码。
antixsslibrary - 使用 AntiXSS 将来自例如 YouTube 的 IFrame 列入白名单
当使用 GetSafeHtmlFragment 从 Microsoft AntiXss 库中检索内容时,是否可以将源设置为 YouTube 的 IFrame 列入白名单?
c# - 是否存在与 Web 保护库 (Anti-XSS) 等效的最低信任?
我正在开发一个需要对 HTML 进行清理的项目。通常,我会求助于Microsoft Web Protection Library;但是,在这种情况下,我正在开发一个以最低信任度运行的应用程序。WPL 的一部分需要中等信任,其余的似乎需要完全信任。
任何人都可以推荐一个可以在最小信任环境中运行的好的 HTML sanitizer 吗?
php - 功能 RemoveXSS - 调整以允许连字符或空格?
我编码的网站应用了一个功能,可以防止所有不可打印的字符。 http://pastebin.com/FemaR8s0 < 这是我们拥有的版本。这可以防止名称字段中允许使用连字符和空格,我想知道是否有办法修改函数以允许名称字段中使用连字符?当然,如果您更改数据库中的名称,它会起作用,但当您尝试登录或使用站点上的名称时则不会......任何帮助将不胜感激!
javascript - 如何在 ASP.NET MVC 3 的 Razor 视图中编码嵌入的 javascript?
如何在以下上下文中正确编码 JavaScript:
我的 JSON 对象中的值是由应用程序管理员设置的,所以我假设它们需要正确编码——对于 HTML 和 JavaScript。
我正在使用System.Web.Script.Serialization.JavaScriptSerializer进行 JSON 编码。看起来 JavaScriptSerializer 在将文本输出为 时进行了一些编码<None>,\u003cNone\u003c但我不确定它有多安全。现在,我正在使用它,@Html.Raw因为它可以在安全输入的情况下工作。它生成以下内容:
如果我使用@Html.Encode我会得到:
我尝试过使用和不使用AntiXSS,但我认为这两种方式都没有区别。
asp.net-mvc - ASP.NET MVC 中的 HTML sanitizer 过滤危险标记,但允许其余标记
我知道在 SO 中出现了很多关于 HTML sanitizers 的问题,但我不知道它们是否符合我的要求,我有点乱,因为一些推荐的方法已经有 4 年以上的历史了。
我有一个带有 TinyMCE 编辑器的页面。当然,这个编辑器将 HTML 发送到服务器,并期望 HTML,所以我创建了一个实体,其String属性装饰有该[AllowHtml]属性。它运作良好。
现在,我想确保没有人试图发送一个<script>标签,或者一个<img onerror="">,或者任何执行 JS 的方式,或者添加指向外部 url 的 CSS。
目前最好的解决方案是什么?
WPL有 HtmlSanitizationLibrary,但我怎么知道哪些标签被认为是“安全的”?
WPL 从去年 4 月起还没有发布任何东西,而且是测试版。所以我想知道这个项目是否活跃?
干杯。
security - XSS 验证、预防还是治疗?
我正在尝试制作一个防黑客网站并学习 XSS。所以过程是
A: 获取用户输入 -> B: 存储 -> C: 再次显示给客户端
我正在使用 Microsoft AntiXSS 库来避免 XSS 攻击,但是令人困惑的是,我应该在步骤“B”还是在步骤“C”执行必要的步骤来避免 XSS 攻击。
asp.net - Microsoft Web 保护库不对 ASP.NET 4.0 Webforms gridview 上的 XSS 进行编码
我有一个使用一些 gridviews 的 ASP.NET 4.0 webforms 应用程序。我正在尝试让 MS Web 保护库正确编码 gridview 中的数据,以防止跨站点脚本问题。
我通过 NuGet 添加了 v4.2.1 的 WPL 库,并将以下内容添加到我的Web.config文件中:
不幸的是,这似乎不起作用。从数据库输出到网格视图时,该字符串<b>hi there</b>未正确编码。
我过去曾使用名为 AntiXssModule.dll 的 dll 完成此操作,但现在我找不到对此的任何引用,而且一切似乎都指向 WPL。
我错过了什么明显的东西吗?
asp.net - 如何使用 .Net 3.5 配置 AntiXSS?
嗨,我正在为我的 TextBox 之一使用 Ajax HtmlEditorExtender。强烈建议使用 AntiXSS Sanitizer。以下是我在 web.config 中添加的内容。
但是我的 web.config 中有两个错误。(1) 'targetFramework' 属性未声明。(2) 元素“system.web”具有无效的子元素“sanitizer”。
谁能告诉我如何解决它们?
c# - 如何在 asp.net web.config httpRuntime 中编写 3.5 框架
此属性是 .NET Framework 4.0 版中的新属性。我在 .Net Framework 4.0 版的解决方案中有 web.config 文件
这很好用,但是如果我将版本更改为 3.5,我会收到此错误
encoderType 属性仅在 4.0 版本中,我如何将其重写为 3.5 ?
编辑
或者我如何在 .net 3.5 项目中使用 microsoft AntiXss 库?
我将这篇文章用于 .net 4.0
http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx