問題タブ [antixsslibrary]

Microsoft.Security.Applicationを含めることができません

このエラーが発生します：

型または名前空間名 'Security' は、名前空間 'Microsoft' に存在しません (アセンブリ参照がありませんか?)

はい、Bin -> Add Reference... -> AntiXSSLibrary.dllをクリックすると、AntiXSSLibrary.xml を含む Bin フォルダーに追加されました。

ウェブサイト全体を再構築しましたが、まだ何もありません。

ASP .NET 3.5 C# を使用しています - AntiXSSLibrary 4.0 Stable

戻り値

これはある種のセキュリティ機能だと思いますが、なぜこれを行うのですか?

Web アプリケーションで AntiXss ライブラリ関数を使用したいと考えています。コード ビハインドに Jquery コードを含む asp.net ページを含む Web アプリケーションがあります。asp.net ページ全体が Jquery js ページを介して実行されます。エンコーディング関数をいくつかのフィールドに適用したいのですが、問題はエンコーディング関数を適用する方法と適用する場所です - (jquery ページで、出力ウィンドウ 0r に表示する値を設定する場所、get data API が呼び出されるサーバー側コードcs ファイルで。) そして、このシナリオで使用する関数 (HtmlEncode、JavascriptEncode など)

前もって感謝します

私の質問は架空のものですが、回答に必要なすべての情報を提供できれば幸いです。

1. Telerik ASP.Net コントロールと Microsoft Anti XSS ライブラリを使用する場合、既知の互換性の問題はありますか?
2. Telerik コントロールの使用は、WCAG コンプライアンスに何らかの影響を与えますか?

セキュリティを形成するためにマイクロソフトのアンチ xss ライブラリを使用しています。HtmlFormUrlEncode メソッドを使用しています。

記録したデータをデコードするにはどうすればよいですか?

サンプルデータ ：

Microsoft の AntiXSSLibrary 4.0 の Sanitizer.GetSafeHtmlFragment を使用すると、HTML フラグメントが次のように変更されることに気付きました。

に：

残念ながら、彼らの API では、この動作を無効にすることはできません。したがって、正規表現 (C#) を使用して、class="" 属性内で発生する "x_anything" などの文字列を修正して "anything" に置き換えたいと考えています。

これを行うための正規表現を手伝ってくれる人はいますか?

ありがとう

更新- これは私にとってはうまくいきました：

初めての AntiXSS 4 ユーザーはこちら。アプリケーションをより安全にするために、Microsoft.Security.Application.Encoder.UrlEncodeを QueryString パラメーターで 使用し、 Microsoft.Security.Application.Encoder.HtmlEncodeをフォーム フィールドに入力されたパラメーターで使用しました。

私には複数の回答があり、それらすべてに回答していただければ幸いです (一度に、または同じ人である必要はありません - どんな回答でも非常に役に立ちます)。

私の最初の質問は、これらのメソッドを適切に使用しているか (つまり、適切な状況に適切な AntiXSS メソッドを使用しているか) ということです。

私の2 番目の質問は、何かをエンコードしたら、それがデコードされた場合です。HttpUtilityクラスがエンコードとデコードの両方の方法を提供することを知っているので、私は混乱しています。なぜ同じことが AntiXSS で行われないのですか? これが役に立てば、エンコードしたパラメーターは、アプリケーション内でテキスト以外のものとして扱われることはありません。

私の3 番目の質問は 3 番目の質問に関連していますが、重要なので強調したいと思います (そして、おそらく全体的な混乱の原因です)。.NET フレームワークは QueryStrings などを自動的にデコードするため、明示的なデコード メソッドは必要ないと聞いたことがあります。もしそうなら、それが元に戻されるのであれば、そもそも HTML エンコーディングのポイントは何でしょう。ただ...安全ではないようですか？特に、前述のようにHttpUtilityクラスがデコードを提供しているため、何が欠けていますか。

最後の質問ですが、AntiXSS は SQL インジェクションに対してまったく役に立ちますか、それとも XSS 攻撃を防御するだけなのでしょうか?

私はASP.NETスクリプトエクスプロイトについて読んでいましたが、提案の1つは次のとおりです:(
強調は私のものです。提案は、Webページの「スクリプトエクスプロイトに対する保護」セクションの＃3です）

アプリケーションでHTML（たとえば、ユーザーからのフォーマット指示）を受け入れる場合は、サーバーに送信する前に、クライアントでHTMLをエンコードする必要があります。詳細については、「方法：文字列にHTMLエンコーディングを適用してWebアプリケーションのスクリプトエクスプロイトから保護する」を参照してください。

それは本当に悪いアドバイスではありませんか？つまり、悪用者がcurlなどを介してHTMLを送信すると、HTMLはエンコードされずにサーバーに送信されますが、これは適切ではありません（？）

私はここで何かを見逃しているのですか、それともステートメントを誤って解釈していますか？

私の知る限りでasp.net mvc3は非常に安全ですが、Microsoft AntiXSS ライブラリを使用してセキュリティを強化できる場所はありますか? http://wpl.codeplex.com/

アプリケーション内でこれを使用できる場所を見つけるにはどうすればよいですか? このライブラリが asp.net mvc3 内でコールドで使用されているものを見つける人がいるかもしれません。

現在、Microsoft AntiXSS ライブラリを使用しておりGetSafeHtmlFragment、次の方法を使用しています。

ただし、次のような文字列を渡すと:

black & white

...アンパサンドをエンコードしているため、次のようになります。

black & white

これは、このライブラリの通常の動作ですか? この文字をエンコードできないようにする方法はありますか?