問題タブ [antixsslibrary]

表示されているレコードを Excel ファイルにエクスポートできるレポート Web ページがあります。画面に表示するために AntiXss を使用していますが、ユーザーがファイルへのエクスポートを選択し、db から再度レコードを取得した場合、報告目的で AntiXss を使用してスクラブする必要がありますか?

ありがとう、

ロッド。

MVC が HTML エンコーディングを導入したので、

使用する価値はまだありますか

代わりは？

例: 私のアプリケーションはすべてのコンテンツ (JavaScript を含む) を取り込み、それを生の状態でデータベースに保存します。私は、MVCの「もの」のようなものを使用してすべてを出力<%: model.Name %>し、MVCの「もの」に頼ってエンコードを行うこと を計画していました。

その方法は、AntiXSS に依存するのに十分安全ですか?それとも、AntiXSS ライブラリを明示的に使用する必要がありますか? AntiXSS ライブラリを使用する必要がある場合、なぜそのようなものが既に MVC に組み込まれていないのか尋ねてもよろしいですか?

ASP.net が提供する XSS (クロス サイト スクリプティング) サポートは、AntiXss とどのように異なりますか。AntiXss は、サイトを XSS から保護するための Microsoft ライブラリです。どちらの API もほぼ同じように見え、コード ファイルで find replace を実行することで簡単に切り替えることができるようです。

XSS に対してより多くのセキュリティを提供するのはどれですか? ASP.net が提供する組み込みサポートを使用することはお勧めできますか?

こんにちは、Visual Studio 2008 と asp.net mvc 2 を使用しています。リッチ テキスト エディター (軽量 RTE) によって生成された入力をサニタイズするには、アンチ xss ライブラリが必要です。AntiXss.GetSafeHtmlFragment(input); を使用したい 関数。

問題は、anti xss dll を参照した後に VS 2008 がクラッシュすることです (最初は正常に動作しますが、クラッシュするよりも)。

この問題を解決する方法はありますか？そうでない場合は、誰かが私に有効な代替手段を指摘できます(ホワイトリストを許可しながらhtmlアジリティパックを使用しようとしましたが、属性なしのタグを許可することしかできませんでした)。

HTML アジリティ フィルタのコード -

ありがとうございました！

MSDNの古い AntiXss 記事によると、AntiXss.UrlEncode はリンク href をエンコードするために使用されます (次の例では Untrusted-input)。

私の理解では、UrlEncode は、JS で document.location を設定する場合など、URL に何かを設定する場合にのみ使用する必要があります。では、前の例で HtmlAttributeEncode を使用して [Untrusted-input] をエンコードしないのはなぜでしょうか? 一方、上記のサンプルのように UrlEncode を使用して HTML 属性をエンコードすると、セキュリティ上の問題はありますか?

このHttpUtilityクラスは、エンコードとデコードの両方を提供します。しかし、MS AntiXSS 3.1 ライブラリを使用すると、エンコード専用の一連のメソッドがありますが、これはデコードを回避できるということですか?

例えば

AntiXSS を適用する前に:

AntiXSS を適用した後:

したがって、エンコーディングを適用すると、HTML タグが Label コントロールに表示されます。

これは望ましい結果ですか？

Microsoftが今日AntiXSSライブラリを更新したようです。

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f4cd231b-7e06-445b-bec7-343e5884e651

さらに、Web保護ライブラリの新しいリリースがあります

http://wpl.codeplex.com/

これらの2つのダウンロードは同じものですか？どのXSSライブラリを使用する必要がありますか？
他に考慮すべきことはありますか？

私が質問する理由は、私たちのベンダーに、彼らが作成する ASP.NET UI コンポーネントで MS AntiXSS ライブラリを使用する必要があることを伝えているからですが、彼らは Flex と連携して Flash ベースの UI を構築することもできます。 Flashに相当するものがあります（脆弱であると仮定して）。

MicrosoftAntiXss3.1ライブラリを使用しています。非ラテン文字を使用する国際的なサイトがいくつかあります。SEOに適したURLを使用しているため、URLに非ASCII文字が含まれています。

AntiXss.UrlEncode（少なくとも3.1では）は「国際文字」を安全なものとして扱うため、URIではなくIRIになります。

HttpUtility.UrlEncodeは、URI（RFC3986）の正しいエンコーディングを生成します。

しかし、私はむしろAntiXssライブラリを使用するという私たちの標準に従いたいと思います。

AntiXss / WPL 4.0がリリースされたことは知っていますが（デフォルトでは国際文字を安全として扱わなくなったようです）、API名が変更されたため、アップグレードするにはアプリケーションに大幅な変更を加える必要があります。

だから、私は次のいずれかの答えに満足しているでしょう：

• AntiXssを誘導して、Uri標準と互換性のあるUrlEncodeを実行する方法。
• AntiXssライブラリのIRI準拠の出力（望ましい）を使用する場合、タイ（または他の場所）の古いプロキシサーバーとの互換性の問題に備えていないという安心感があります。ブラウザマトリックスに対してテストできます。 、ただし、私たちとお客様の間に存在する可能性のあるすべての中間ネットワーク機器ではありません）。
• HttpUtility.UrlEncodeは私たちが使用すべきものであり、AntiXss.UrlEncodeよりも著しく安全性が低くありません。
• 私が考えていない他のより良い解決策があります。

ありがとう

私は次のようにwindow.open（）を呼び出しています：

私がコードで行ったことは、ウィンドウの名前を取得し、MicrosoftWebProtectionライブラリを使用してJavaScriptでエンコードしたものです。IEはウィンドウ名のスペースが好きではないことを読んだので、スペースもアンダースコアに置き換えています。参考までに、元の文字列は「New Window：Jamie」で、「：」は「\x3a」としてエンコードされているようです。ウィンドウはFireFoxで問題なく開きますが、IE8では開きません。IE8は、このエンコーディングや文字などが好きではありませんか？IE8のウィンドウ名に表示できる文字に関する規則はありますか？