Web アプリケーションで AntiXss ライブラリ関数を使用したいと考えています。コード ビハインドに Jquery コードを含む asp.net ページを含む Web アプリケーションがあります。asp.net ページ全体が Jquery js ページを介して実行されます。エンコーディング関数をいくつかのフィールドに適用したいのですが、問題はエンコーディング関数を適用する方法と適用する場所です - (jquery ページで、出力ウィンドウ 0r に表示する値を設定する場所、get data API が呼び出されるサーバー側コードcs ファイルで。) そして、このシナリオで使用する関数 (HtmlEncode、JavascriptEncode など)
前もって感謝します
XSS 攻撃を防止するための基本的な考え方は、すべての入力データ (ユーザーまたは外部アプリケーションから) は信頼できない/安全ではないものとして扱う必要があるため、受け入れ中に検証するか、出力 (html、js など) で再現するときにエンコードする必要があるということです。 )。
私の知る限り、AntiXssサーバー側のライブラリであるため、ブラウザで値をエンコードするために使用することはできません。これらの値をクライアントに送信する前に、サーバー側で (html/html 属性/JS などに) エンコーディングを適用する必要があります (たとえば、aspx ページまたは java-script が処理するクライアントにデータを送信する asmx/SCF サービス)。 html またはスクリプトとしてのデータ)。
この記事を参照してください- 時代遅れではありますが、AntiXss lib から始めるのに適したリソースであり、 「使用するエンコード方法の決定」の下にさまざまなエンコード方法を使用するためのシナリオもリストされています。