微软的AntiXSS库已经broken 6个月,它看起来被放弃了(这可能会或可能不正式)。由于以前版本的安全问题,回滚到早期版本并不安全。在使用Microsoft(特别是MVC)堆栈时,是否有任何有效的开发AntiXSS和Web安全的替代品?Microsoft AntiXSS Alternative
21
A
回答
5
有消毒航运新XSS与AJAX控件工具包的2012年6月发布。该工具包最初也是使用微软的反xss库,所以他们遇到了同样的问题。新的消毒剂是基于关闭HtmlAgilityPack
2
你看过Open Web Application Security Project(OWASP)吗?特洛伊亨特有它好的帖子在他的博客,看看这里:
http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
请注意,我还没有与它的工作自己,所以我不能肯定羯羊它是什么东西找你找因为,只是想我会分享它。
3
我有同样的问题,我一直在寻找一个解决方案的高和低,但没有发现任何其他东西。
基本上,我认为唯一的选择就是使用WMD的一些风格(就像他们在Stackoverflow上做的那样)......将它作为WMD标记发送回服务器,然后将它作为HTML保存在数据库中,然后在将它吐出到服务器上的页面时将其转换为html。
这可能是一个良好的开端:http://code.google.com/p/pagedown/
相关问题
- 1. 如何使用Microsoft AntiXss 4.x?
- 2. Microsoft AntiXSS wpl在asp.net中使用mvc3 applicaton
- 3. Microsoft AntiXSS - 是否需要解码?
- 4. TagBuilder和AntiXss库
- 5. Fortify和AntiXSS
- 6. AntiXSS - HtmlAttributeEncode使用
- 7. AntiXSS 4.2.1说明
- 8. Swift:NSTimer Alternative
- 9. Eval alternative
- 10. beginSheet:block alternative?
- 11. Phonegap Alternative
- 12. Xrefresh alternative
- 13. Alternative ContextMenuStrip
- 14. JConsole alternative
- 15. ContentEditable Alternative
- 16. setTimeout alternative
- 17. php:array_replace_recursive alternative
- 18. Socky Alternative
- 19. AVFoundation Alternative
- 20. Redux Alternative
- 21. CSS - Calc alternative
- 22. JavaScript innerHTML.length alternative
- 23. Emacs ECB Alternative
- 24. Java getElementById()或Alternative
- 25. 开源Clearcase Alternative
- 26. MySQL Query - alternative
- 27. Javascript code alternative
- 28. Me.Handle in Module - Alternative?
- 29. http://www.winpcap.org/ alternative
- 30. http://modules.sourceforge.net/ alternative
为什么Razor视图引擎XSS保护不够? –
@LeonCullens对于允许用户上传html内容的情况 - 例如使用tinymce或其他富文本编辑器时,这是不够的。 –
啊好的。恐怕我忍不住了:-) –