问题标签 [antixsslibrary]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

154 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
6031 浏览

asp.net - 如何在没有 Visual Studio 的 ASP.Net 2.0 中包含 Anti-XSS

我可以在没有 Visual Studio 的情况下在我的 ASP.Net 2.0 应用程序中包含 Microsoft 的 Anti-XSS 库吗?如果是这样,怎么做?

我已经下载并安装了这个库。来自Microsoft 的下载页面:“在您的应用程序中引用库并使用它。” 对此进行研究会发现使用 Visual Studio 执行此操作的说明,但并非没有。

这个 SO answer链接到一些有前途的文章,但那些也假设 Visual Studio 开始。

(至于为什么我不能使用 Visual Studio:我的经理说“不”。)

0 投票
1 回答
1902 浏览

asp.net - AntiXSS - HtmlAttributeEncode 用法

我试图找出可以使用 HtmlAttributeEncode 的上下文 -

我尝试了简单的“你好!” 警报脚本被设置为控制属性,所以我可以看到 HtmlAttributeEncode 正在运行 - 但看不到我可以在哪里使用 HtmlAttributeEncode 而不是 HtmlEncode。

所以,例如,我有

但是我看不到这个脚本正在运行:-(
我已经尝试过 TextBox.Text 属性,但为此我可以使用 HtmlEncode。

任何人都可以请指导。

谢谢!

0 投票
3 回答
402 浏览

php - 防止XSS(理想功能)?

作者说这是保护 XSS 的理想代码......是真的吗?

0 投票
1 回答
876 浏览

c# - 反 XSS 库删除 UL 标签。为什么?

我正在使用Microsoft 反 xss 库,我注意到由于某种原因它正在删除<ul>标签。我不知道为什么。例如:

这是返回:

有任何想法吗?

0 投票
0 回答
1664 浏览

asp.net - AntiXSS HtmlEncode Textarea 换行丢失

我正在 ASP.NET 上开发 Web 应用程序,我从用户那里获取 textarea 输入,然后在网站上显示此输入。在将输入保存到数据库时,我没有对输入进行编码,而是直接将它们写入 db。

如果输入包含“输入”,我不想丢失换行符。所以我正在替换这样的数据: Replace("\r\n", " <br />")

为了在显示之前防止 XSS 攻击,我正在使用 Microsoft 的 AntiXSS 库的 Microsoft.Security.Application.Encoder.HtmlEncode 函数对数据进行编码。

此函数还对“”进行编码<br/>,并且在屏幕上我没有任何换行符。

如果我先用 AntiXSS 编码,然后用“”替换“\r\n”,<br/>我也没有得到任何换行符,因为我认为 AntiXSS 删除了“\r\n”。

如果我使用 Server.HtmlEncode 然后将 "\r\n" 替换为 " <br/>" 那么一切都很好。但我想使用 AntiXSS 库,但我不知道如何实现这一点。

有没有办法使用 AntiXSS HtmlEncode 函数打印换行符?

谢谢

0 投票
2 回答
1831 浏览

asp.net - TinyMCE、AntiXSS、MVC3 和 GetSafeHtmlFragment

我已经阅读了很多关于 XSS 和如何处理的关于 SO 的帖子。通常,共识是白名单而不是黑名单,避免使用正则表达式(太多变体无法处理)。

我正在开发一个 ASP.Net MVC3 应用程序。我需要能够显示来自用户条目的 HTML(例如 <strong>、<ul>、<li> 等...),但我不希望有任何 XSS 风险。

我正在通过 Nuget 使用 AntiXSS 包。在我的模型中,我有

在我看来,我将 TinyMCE 连接到了 textarea。

在我的控制器中,我从视图中获取帖子并对其进行清理:

我的问题:我做对了吗?我是否受到了大多数 XSS 问题的保护,或者我是在吠叫错误的树吗?

0 投票
1 回答
882 浏览

antixsslibrary - 在 Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment 中允许本地 URL

Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment 似乎全部<a href="">link</a>剥离<a>link</a>

无论如何要保留本地 URL,例如<a href="/Product/1">将其传递到 Sanitizer.GetSafeHtmlFragment 时?

注意:我使用的是 AntiXSS 4.2.1

0 投票
3 回答
3969 浏览

asp.net-mvc-3 - Microsoft AntiXSS 替代方案

微软的 AntiXSS 库已经被破坏了 6 个月,看起来已经被废弃了(官方可能是这样,也可能不是这样)。由于以前版本的安全问题,回滚到早期版本是不安全的。在使用 Microsoft(特别是 MVC)堆栈时,是否有任何积极开发的用于 AntiXSS 和 Web 安全的良好替代方案?

0 投票
1 回答
1121 浏览

knockout.js - 我应该如何将 AntiXSS 库与 Knockout 库一起使用?

在一个工作项目中,我最近被分配使用 AntiXSS 库 (v. 4.2.1) 对用户输入进行编码,即使它已经被废弃并且甚至没有最新版本的文档。我环顾四周,发现我可以使用这样的输入:

不幸的是,我正在处理的项目使用 Knockout 库,所以如果我有:

这样的事情可能吗?

编辑:忘记添加输入是在 .ascx 页面中处理的,而不是 .aspx

0 投票
1 回答
9214 浏览

c# - Sanitizer.GetSafeHtmlFragment 是否应该删除
元素?

MS 的 AntiXSS (v4.2.1)Sanitizer.GetSafeHtmlFragment(string)方法正在从我的输入中删除<br>和标记。<br />这应该发生吗?有办法解决吗?

它似乎也在删除\n和字符,所以在消毒剂完成工作后\r我无法打电话。Replace()


12345678910