問題タブ [antixsslibrary]

HTMLページへの入力をサニタイズするためのライブラリまたは許容可能な方法はありますか？

この場合、名前、電話番号、および電子メールアドレスだけのフォームがあります。

コードはC＃である必要があります。

例えば：

"<script src='bobs.js'>John Doe</script>"になる必要があります"John Doe"

Microsoft の AntiXssLibrary を使用して、後で編集する必要がある入力をどのように処理しますか?

例えば：

ユーザーは次のように入力します。 <i>title</i>

次のようにデータベースに保存されます。 <i>title</i>

編集ページでは、テキスト ボックスに次のよう <i>title</i>に表示されます。テキスト ボックスに表示する前にエンコードしたためです。

ユーザーはそれを好まない。

入力コントロールへの書き込み時にエンコードしなくても大丈夫ですか?

アップデート：

私はまだこれを理解しようとしています。以下の回答は、表示する前に文字列をデコードするように言っているようですが、それは XSS 攻撃を許可しませんか?

入力フィールド値の文字列のデコードは問題ないと述べた 1 人のユーザーは反対票を投じられました。

I realise there are several rich text editors for jQuery but I cannot find any that have an associated class that does the filtering and cleaning required to accept the input into a database.

Does such a class exist?

I am particularly interested for a PHP library, but .NET would be interesting too.

私はMicrosoft の AntiXss LibraryJavaScriptEncodeを使用してきましたが、そのメソッドが結果を一重引用符で囲む正当な理由があるかどうか疑問に思っていましたか? その振る舞いは型にはまらないようです。

Microsoft AntiXSSライブラリをダウンロードして確認しましたが、サーバーコントロール（asp：textboxなど）に使用する必要があるかどうかは100％わかりません。標準のhtmlコントロール（入力など）で使用すると、すべて問題ありません。サーバーコントロールでantixsslibを使用すると、出力が2回エンコードされているように見えます。

私は現在、標準のhtmlコントロールにantixsslibのみを使用しています。サーバーコントロールを使用してクロスサイトスクリプティングから保護されていますか？これはベストプラクティスですか？

Anti-XSS Security Runtime Engine について読んでいますが、リフレクションを介してコントロールを検査し、必要に応じてデータを自動的にエンコードするため、Web フォームの優れたソリューションのように見えます。ただし、ASP.NET MVC でサーバー側のコントロールを実際に使用していないため、ASP.NET MVC の実行可能なソリューションではないようです。これは正しいですか、何か不足していますか?

新しい MS Anti_XSS 3.0 リリースをダウンロードして確認しました。ヘルプ ファイルを読みましたが、使用するホワイトリストを変更する方法についての言及は見つかりませんでした。アイテムの追加は可能ですか? アイテムは削除できますか?

ANTIXSS の実装について質問があります。ページのテキストボックスから値を読み取ってデータベースに直接保存し、データベースから値を読み取ってテキストボックスに挿入した場合、そのプロセスでタグなどを実行できる可能性はありますか? よろしく、アンディ

私は短期間の契約ギグを行っており、レガシーコードのいくつかの脆弱性にパッチを当てようとしています。私が取り組んでいるアプリケーションは、Classic ASP（VBScript）と.Net 2.0（C＃）の組み合わせです。彼らが購入したツールの1つは、Fortify360です。

アプリケーションの現在のクラシックASPページは次のとおりです。

私は知っています、私は知っています、短くて非常に危険です。

そこで、いくつかの（en / de）コーダーと妥当性確認/妥当性確認ルーチンを作成しました。

それでも、Fortifyは、これをヘッダー操作に対して脆弱であるとフラグを立てます。Fortifyはどのように、または正確に何を探していますか？

Fortifyが特定のキーワードを探していると思う理由は、.Net側では、Microsoft AntiXssアセンブリを含めて、GetSafeHtmlFragmentandUrlEncodeやFortifyなどの関数を呼び出すことができるからです。

何かアドバイス？

クロス サイト スクリプティングを回避するために AntiXss ライブラリを提案する回答を含む質問に出くわしました。msdn blogを読んで興味深いことに、HtmlEncode() メソッドを提供するだけのようです。しかし、私はすでに HttpUtility.HtmlEncode() を使用しています。

HttpUtility.HtmlEncode ではなく AntiXss.HtmlEncode を使用する必要があるのはなぜですか?

実際、この質問をしたのは私が初めてではありません。実際、Google は主にいくつかの 回答を提示しています。

• ブラックリスト方式ではなくホワイトリスト方式
• 0.1ms のパフォーマンス向上

それはいいことですが、それは私にとって何を意味するのでしょうか。私は 0.1 ミリ秒のパフォーマンスについてはあまり気にしません。また、既に持っている機能の別のライブラリ依存関係をダウンロードして追加する気もありません。

HttpUtility 実装では防げない攻撃を AntiXss 実装で防げる例はありますか?

HttpUtility 実装を使い続けると危険にさらされますか? この「バグ」はどうですか？