問題タブ [antixsslibrary]

Visual Studio を使用せずに、ASP.Net 2.0 アプリケーションに Microsoft の Anti-XSS ライブラリを含めることはできますか? もしそうなら、どのように？

私はすでにライブラリをダウンロードしてインストールしました。Microsoft のダウンロード ページから: 「アプリケーションでライブラリを参照して使用します。」これを調査すると、Visual Studio を使用してこれを行うための手順が見つかりますが、そうでない場合はそうではありません。

This SO answerはいくつかの有望な記事にリンクしていますが、それらは Visual Studio が起動していることも前提としています。

(Visual Studio を使用できない理由については、マネージャーが「いいえ」と言っています)。

HtmlAttributeEncode を使用できるコンテキストを把握しようとしています -

シンプルな「こんにちは！」でやってみました アラート スクリプトがコントロール属性として設定されているため、HtmlAttributeEncode の動作を確認できましたが、HtmlEncode の代わりに HtmlAttributeEncode を使用できる場所がわかりません。

たとえば、私は

しかし、このスクリプトが実行されているのを見ることができません:-(
TextBox.Text プロパティに対して既に試しましたが、そのために HtmlEncode を使用できます。

どなたかご指導お願いします。

ありがとうございました！

著者は、これは XSS から保護するための理想的なコードだと言っていますが、本当ですか?

Microsoft アンチ xss ライブラリを使用していますが、何らかの理由で<ul>タグが削除されていることに気付きました。理由がわかりません。例えば：

これは戻ってきます：

何か案は？

私は ASP.NET で Web アプリケーションを開発しており、ユーザーからテキストエリアの入力を受け取り、後でこの入力を Web サイトに表示しています。入力をデータベースに保存している間、入力をエンコードせず、直接dbに書き込みます。

入力に「enter」が含まれている場合、改行を失いたくありません。だから私はそのようなデータを置き換えています: Replace("\r\n", " <br />")

また、表示する前に XSS 攻撃を防ぐために、Microsoft の AntiXSS ライブラリの Microsoft.Security.Application.Encoder.HtmlEncode 関数を使用してデータをエンコードしています。

この関数は " " もエンコード<br/>し、画面上には改行がありません。

最初に AntiXSS でエンコードしてから "\r\n" を " <br/>" に置き換えると、AntiXSS は "\r\n" を削除すると思うので、改行も発生しません。

Server.HtmlEncode を使用してから "\r\n" を " <br/>" に置き換えれば、すべて問題ありません。しかし、AntiXSS ライブラリを使用したいのですが、これを実現する方法がわかりません。

AntiXSS HtmlEncode関数を使用して改行を印刷する方法はありますか?

ありがとう

XSSとその対処方法に関するSOに関する多くの投稿を読みました。一般に、コンセンサスはブラックリストよりもホワイトリストであり、正規表現の使用を避けます（処理するにはバリアントが多すぎます）。

ASP.NetMVC3アプリケーションに取り組んでいます。ユーザーエントリからHTMLを表示できるようにする必要があります（例：<strong>、<ul>、<li>など）が、XSSリスクは必要ありません。

Nuget経由でAntiXSSパッケージを使用しています。私のモデルでは、

私の見解では、TinyMCEをテキストエリアに接続しています。

私のコントローラーでは、ビューから投稿を取得してサニタイズします。

私の質問：私はそれを正しくしましたか？私はほとんどのXSSの問題から保護されていますか、それとも間違ったツリーを吠えていますか？

<a href="">link</a>Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragmentは、すべてを取り除いているようです<a>link</a>

<a href="/Product/1">たとえば、Sanitizer.GetSafeHtmlFragmentに渡す場合など、ローカルURLを保持する方法はありますか？

注：私はAntiXSS4.2.1を使用しています

Microsoft の AntiXSS ライブラリは6 か月間壊れており、放棄されたように見えます (公式にそうである場合とそうでない場合があります)。以前のバージョンにはセキュリティ上の問題があるため、以前のリリースにロールバックすることは安全ではありません。Microsoft (特に MVC) スタックを使用する場合、AntiXSS および Web セキュリティ全般に対して積極的に開発された優れた代替手段はありますか?

仕事中のプロジェクトで、私は最近、AntiXSS ライブラリ (v. 4.2.1) を使用してユーザー入力をエンコードするように割り当てられました。少し調べてみたところ、入力に次のようなものを使用できることがわかりました。

残念ながら、私が取り組んでいるプロジェクトでは Knockout ライブラリを使用しているため、次のような場合:

このようなことが可能でしょうか？

編集：入力が.aspxではなく.ascxページで処理されることを追加するのを忘れました

MSのAntiXSS（v4.2.1）Sanitizer.GetSafeHtmlFragment(string)メソッドは、入力からタグを削除<br>しています。<br />これは起こるはずですか？それを回避する方法はありますか？

キャラクターも削除されているようです\nので、消毒剤が効いた後は\r電話できません。Replace()