問題タブ [antixsslibrary]

Web ページに表示されるコンテンツを HtmlEncode するために、Microsoft の AntiXSS ライブラリを使用しています。

問題は、必要以上にエンコードすることです。たとえば、コロン「:」をエンコードします。

HtmlEncode への方法はありますが、特定の文字はありませんか?

たとえば、「RE: メールの件名」のような文字列がある場合、AntiXSS ライブラリを使用してその文字列をエンコードすることはできますが、「RE: メールの件名」として表示されません。「:」を表示したいが、出力をエンコードしたい。

更新: 問題は、私が Razor を使用していて、「@」が既に出力をエンコードしていたことです。したがって、"@" と AntiXSS Html.Encode 呼び出しの両方を使用することで、二重エンコードを行っていました。

マイクロソフトのAntiXssライブラリからGetSafeHtmlFragmentを使用してコンテンツを取得するときに、ソースがYouTubeに設定されているIFrameなどをホワイトリストに登録することはできますか？

HTML のサニタイズが必要なプロジェクトに取り組んでいます。通常、私はMicrosoft Web Protection Libraryに目を向けます。ただし、この場合、最小限の信頼で実行されるアプリケーションを開発しています。WPL の一部は中程度の信頼を必要とし、残りは完全な信頼を必要とするようです。

最小限の信頼環境で動作する優れた HTML サニタイザーを提案できる人はいますか?

私がコーディングしている Web サイトには、印刷できない文字をすべて防止する機能が適用されています。 http://pastebin.com/FemaR8s0 < これは私たちが持っているバージョンです。これにより、名前フィールドでハイフンとスペースが許可されなくなります。名前フィールドでハイフンを許可するように関数を変更する方法があるかどうか疑問に思っていましたか? もちろん、データベースの名前を変更すると機能しますが、サイトにログインしたり、名前を使用したりすると機能しません...どんな助けも大歓迎です!

次のコンテキストで JavaScript を適切にエンコードするにはどうすればよいですか。

JSON オブジェクトの値はアプリケーション管理者が設定するので、HTML と JavaScript の両方で適切にエンコードする必要があると思います。

JSONエンコーディングを行うためにSystem.Web.Script.Serialization.JavaScriptSerializerを使用しています。<None>JavaScriptSerializer は、テキストを として出力するときに何らかのエンコードを行っているように見えますが\u003cNone\u003c、それがどれほど安全かはわかりません。現在、@Html.Raw安全な入力があれば動作するので使用しています。以下を生成します。

私が使用する@Html.Encodeと、次のようになります。

AntiXSSの有無にかかわらず試してみましたが、どちらの方法でも違いは見られません。

HTML サニタイザーに関する多くの質問が SO に表示されていることは知っていますが、それらが私が望むことを行うかどうかはわかりません。推奨されるアプローチのいくつかは 4 年以上前のものであるため、少し混乱しています。

TinyMCE エディターのページがあります。もちろん、このエディターは HTML をサーバーに送信し、HTML を想定しているためString、属性で装飾されたプロパティを持つエンティティを作成しました[AllowHtml]。それはうまくいきます。

今、私は、<script>タグ、または 、<img onerror="">または JS を実行するあらゆる方法を誰も送信しようとしたり、外部 URL を指す CSS を追加したりしないようにしたいと考えています。

現時点での最善の解決策は何ですか？

WPLには HtmlSanitizationLibrary がありますが、どのタグが「安全」と見なされているかを知るにはどうすればよいですか?

WPL は昨年 4 月から何もリリースしておらず、ベータ版でした。それで、このプロジェクトがアクティブかどうか疑問に思っていましたか？

乾杯。

私は、ハッキングに強いWebサイトを作成し、XSSについて学んでいます。したがって、プロセスは

A：ユーザー入力を取得-> B：保存-> C：クライアントにもう一度表示

XSS攻撃を回避するためにMicrosoftAntiXSSライブラリを使用していますが、混乱は、ステップ「B」またはステップ「C」でXSS攻撃を回避するために必要な手順を実行する必要があるということです。

いくつかのグリッドビューを使用する ASP.NET 4.0 Web フォーム アプリがあります。クロスサイトスクリプティングの問題から保護するために、MS Web Protection Library でグリッドビューのデータを正しくエンコードしようとしています。

NuGet 経由で WPL ライブラリの v4.2.1 を追加し、Web.configファイルに以下を追加しました。

残念ながら、これはうまくいかないようです。<b>hi there</b>データベースからグリッド ビューに出力するときに、文字列が正しくコーディングされていません。

過去に AntiXssModule.dll という dll を使用してこれを実行しましたが、これへの参照が見つからず、代わりにすべてが WPL を指しているようです。

明らかな何かを見逃しましたか？

こんにちは、TextBox の 1 つに Ajax HtmlEditorExtender を使用しています。AntiXSS Sanitizer を使用することを強くお勧めします。以下は、web.config に追加したものです。

しかし、web.config で 2 つのエラーが発生しました。(1) 「targetFramework」属性が宣言されていません。(2) 要素「system.web」には無効な子要素「sanitizer」があります。

誰かがそれらを修正する方法を教えてもらえますか?