私の知る限りでasp.net mvc3は非常に安全ですが、Microsoft AntiXSS ライブラリを使用してセキュリティを強化できる場所はありますか? http://wpl.codeplex.com/
アプリケーション内でこれを使用できる場所を見つけるにはどうすればよいですか? このライブラリが asp.net mvc3 内でコールドで使用されているものを見つける人がいるかもしれません。
2 に答える
2
まあ、AntiXSS の所有者として、私は明らかにイエスと言いたいです。しかし、私は偏っています:)
AntiXSS はあなたに与えます
- より多くのエンコーディング オプション - CSS、JavaScript、および LDAP のエンコーディングを含む (コードから AD をクエリする場合)
- アンセーフ リストではなく、セーフ リスト。これは本質的により安全ですが、遅くなります。デフォルトの .NET ブラックリストで十分ですが、システムが入力を処理する方法にも依存します。
現在、AntiXSS 4.1 を使用すると、AntiXSS を MVC に簡単にプラグインして、デフォルトのエンコーダーとして使用できます。これは現在ベータ版です。コードは、エンコーダーを交換する方法に関する限定的な説明と共にダウンロードできます。11 月までにリリースが表示されるはずです。
于 2011-09-02T16:23:52.013 に答える
0
収集しようとしているユーザーが入力したデータがどのように使用されるか、およびアプリケーションに HTML を許可するように指示したかどうかによって異なります。
個人的には、入力で HTML を入力し、後でサイトに再表示できる場合はいつでも AntiXss ライブラリを使用しますが、それ以外の場合は、HTML の入力を許可するように指示していない場合、MVC3 は HTML をかなりブロックします。
于 2011-09-02T12:06:17.173 に答える