问题标签 [antixsslibrary]

我想在我的新项目中使用新的 AntiXSS 4.2，但有人讨论了它在编码和删除 html 元素时的错误和激进行为。所以我不知道该怎么办？

还在使用 3.0 版还是升级到 4.2.1 版？

我自己注意到的一件事是，在以前的版本中，当我将编码文本绑定到文本框时，它会正常显示文本，但在这个新版本中，会显示代码中的文本。我必须在绑定到文本框之前解码

任何想法或建议表示赞赏。

我在使用他们最新的 WPL v 4.2.1 时遇到问题。对可疑 HTML、javsacript 和样式的剥离是如此激进，它剥离了所有的 CSS。

我知道 CSS 可以很容易地使用 URL 引用来注入恶意 javascript，但这也意味着我失去了所有使我的内容看起来可读的无辜样式。我想在我的 aspx 页面上显示的最后一件事是无聊的“纯”文本。

我的问题：市场/网络上是否有另一个我可以使用的库不会完全剥离我的样式元素？我的意思是选择性地仅删除 CSS 中可能存在的恶意属性。

我试过搜索但没有太多运气。如果有人知道，您可以在这里发布答案吗？我知道可以修改当前的源代码，但如果有一个可用的项目，我真的很想使用一个可用的项目，因为我对跨站点脚本不是很了解。

万分感谢！

我正在做一些 AntiXSS 工作。用户输入一些文本，然后通过

并保存到数据库中。

然后可以在标签或文本框中显示此文本。

如果我将编码的文本放入标签的文本属性中，它会显示得很好。如果我将它分配给文本框的文本属性，它会以编码形式显示。

如何在文本框和标签中正确显示文本？该库是否提供任何解码机制？

由于项目要求，我无法更改库或它在输入上编码的事实。

In my application, I have rich textbox, and I wonder what is safer to use:

• A bbcode rich textbox with bbcode parser,

or

• A rich textbox with html encoded tags, and validation with Microsoft anti-XSS sanitizer

I think that first approach is a bit harder to implement, because I would need to write a custom bbcode validator/sanitizer.

So, which method would you use, and why?

我有一个简单的论坛应用程序，当有人发布任何内容时，我会：

现在，我不确定我是否做错了什么，或者发生了什么，但它不允许几乎没有 html。即使是简单<b></b>的也太过分了。所以我猜这个工具完全没用。

现在我的问题：谁能告诉我应该如何清理我的用户输入，以便他们可以发布一些图像（<img>标签）并使用粗体强调等？

使用 AntiXssEncoder 的 ASP .Net 标记

呈现为：

作为扩展为回车的数字字符引用，这不是有效的 HTML5。使用数字字符引用而不是实际字符编写代码的原因是因为页面是用 ASP .NET 编写的，AntiXss 是基于此页面的默认 HttpEncoder：http: //haacked.com/archive/2010 /04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx。

删除 AntiXss 编码器可以解决问题，但是有没有办法保留 AntiXss 编码器并防止它发送“回车”和“换行”的数字字符引用？

我不知道我这样做是否正确。
我第一次构建一些东西来防止页面上的攻击。
我将从底部开始：
我有财产：

用户可以通过 tinyMCE 设置它的值

在控制器中，在我将其保存在数据库中之前，我会：

在数据库中，我有一个值：

我在我的项目中添加了 AntiXSS 库：

当我显示来自数据库的数据时，我使用：

它工作正常，我只看到文字。没有 HTML 标签。断线工作正常。我可以用粗体、斜体等设置文本样式。

但如果我输入：

我得到了警报窗口。
我不明白我是否需要做更多的事情来防止这种情况发生？

在使用 Jquery Ajax 为控制器的动作发出 POST 请求时，最好在 POST 请求中加密 URL 并在控制器动作中解密，而不涉及 SSL。

我遇到了 ANTiXSS 库，它是否提供了我需要的库。

问候， 库雷希

我正在测试针对 xss 攻击的 Web 应用程序。因为有事件列表，每个事件都有评论区，在其中一个事件中，我插入了这个脚本，

该事件显示了一个标志，即有评论，但没有显示。这里的问题是，每当我单击该事件时，应用程序就会崩溃，并且浏览器会给出“恢复页面”。

但是在 Chrome 中，它正在接受该脚本，将其显示为空注释（“”），并且它没有崩溃，为什么？

我在 IE 中重置了浏览器设置，但出现了同样的问题。那是因为 Chrome 没有处理病毒（不确定），还是 IE 处理了它？

我试过这个脚本，

两种浏览器都以相同的方式运行而不会崩溃。

那么你能告诉我其中发生了什么吗？

我需要在注入到 html 的服务器端编码一些 javascript。我正在使用 Microsoft.Security.Application.Encoder.JavaScriptEncode() 但它最终从视图源看起来像这样：

'var DesignTheme \x3d \x7b\x22StyleId\x22\x3a\x2235\x22,\x22BackgroundColor\x22\x3a\x22\x23DDF1FA\x22,\x22HeaderColor\x22\x3a\x22\x230B70A6\x22,\x22ButtonColor\x22\x3a \x22\x2347B937\x22,\x22BoxBackgroundColor\x22\x3a....

是什么赋予了？我是否使用错误的方法进行编码？目标是防止跨站点脚本，这个 javascript 在最近对我们网站的安全扫描中抛出了一个危险信号。