asp.net - Asp.NET で XSS を防止する方法

Question

asp.net でクロス サイト スクリプティングを防止するために使用できる手法は何ですか? xss から保護された Web サイトを実現するために使用できる準備ができていない実装はありますか?

Answer 1

この目的のために長い間社内で開発を行ってきましたが、最終的に Microsoft がそのためのライブラリを提供しました。ライブラリをこれに完全に置き換えました。次のように簡単に使用できます。

string sanitizedString = Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(string myStringToBeChecked);

この方法の唯一の問題は、行末文字で区切られた複数の空白を削除することです。これが発生したくない場合は、行末文字 (\r\n) に関して最初に文字列を分割することを検討してから、これらの分割された文字列の前後の空白の数を計算し、サニタイザーを適用し、空白を追加して連結します。 .

それ以外は、Microsoft ライブラリは正常に動作します。

Answer 2

Microsoft アンチ クロス サイト スクリプティング ライブラリは、良い出発点です。XSS を防止するための便利なヘルパー メソッドがいくつかあります。これは、より大きなMicrosoft Web Protection Libraryの一部になりました。

Answer 3

クロス サイト スクリプティング攻撃を防ぐには、次の方法があります。

 1.  Use HtmlEncoding while saving the input content that is received from web  application controls usch as textbox etc.
 2.  Use InnerText instead of InnerHtml while displaying data on the page.
 3.  Do the input sanitization before saving the data into database.