微软AntiXSS替代(Microsoft AntiXSS Alternative)

2019-07-30 05:04发布

微软的AntiXSS库已经破了6个月,它看起来抛弃(可能会或可能不会正式是这种情况)。 由于与以前版本的安全问题,这是不是安全回滚到以前的版本。 是否有一般的AntiXSS任何好的积极开发替代和Web安全与微软(特别是MVC)工作时叠加么?

Answer 1:

有一个新的XSS消毒运输用AJAX控件工具包的2012年6月发布。 该工具包最初是使用微软反跨站脚本库一样,所以他们经历了同样的问题。 新的消毒剂是基于关闭HtmlAgilityPack

见http://stephenwalther.com/archive/2012/06/25/announcing-the-june-2012-release-of-the-ajax-control-toolkit.aspx



Answer 2:

我有同样的问题,我一直在寻找高和低的解决方案,但没有发现任何东西在那里。

基本上,我认为前进的唯一选择是使用大规模杀伤性武器的一番风味(就像他们在这里做的#2)...发送回服务器作为大规模杀伤性武器的标记,然后将其保存在数据库中的HTML然后将其转换HTML时随地吐痰它在服务器上的页面上。

这可能是一个良好的开端: http://code.google.com/p/pagedown/



Answer 3:

你吃过看看开放Web应用安全项目(OWASP)? 特洛伊亨特有它好的帖子在他的博客,看看这里:

http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html

请注意,我还没有与它的工作自己,所以我不能肯定羯羊它是什么找你找,只是想我会分享它。



文章来源: Microsoft AntiXSS Alternative