8

Web サイトを XSS 攻撃から保護する方法を探しています。この時点で、入力のみのサニタイズ/保護について懸念しています。出力をエンコードする必要があることは認識していますが、それはこの質問の範囲外です。

次の点に注意してください。

  • 私の Web は、ユーザーが生成した HTML をまったく受け入れません。
  • Validate Request を true に設定しました。

Microsoftは、Validate Request のみに依存しないことを推奨していることを知っています。ただし、理由を知りたいです。入力のサニタイズ プロジェクトに着手するには、かなりの時間とお金が必要であり、それをビジネスに正当化する必要があります。

Validate Request 保護を攻撃する方法の実際の例を調査してきました。私が思いついたのはこれだけです。ただし、私のサイトでは再現できませんでした。

4

2 に答える 2

6

はい Microsoft は、Validate Request に依存しないことをお勧めします。

アプリケーションにとって適切な入力を表すものを定義できるのは、あなただけです。

How To: Prevent Cross-Site Scripting in ASP.NETガイドラインを読むことをお勧めします。これはおそらく、XSS のトピックについて Microsoft から読んだ中で最高のものです。

入力をサニタイズするために使用できるもう 1 つの方法は、Microsoft Web Protection Libraryです。それを既存のアプリケーションに統合するのは簡単で、これは私が個人的に信頼している非常に成熟したプロジェクトです。

于 2013-05-16T09:34:38.707 に答える