問題タブ [antixsslibrary]

新しいプロジェクトで新しい AntiXSS 4.2 を使用したかったのですが、HTML 要素のエンコードと削除におけるバグと積極的な動作について議論がありました。だから私は何をすべきかわからないのですか？

まだバージョン 3.0 を使用していますか、それとも 4.2.1 にアップグレードしますか?

私が気づいたことの1つは、以前のバージョンではエンコードされたテキストをテキストボックスにバインドすると、テキストが正常に表示されますが、この新しいバージョンではコード内のテキストが表示されることです。テキストボックスにバインドする前にデコードする必要があります

任意のアイデアや提案をいただければ幸いです。

最新の WPL v 4.2.1 の使用に問題があります。疑わしい HTML、javasacript、およびスタイリングの削除は非常に積極的で、すべての CSS を削除します。

CSS を使用して、URL 参照を使用して悪意のある JavaScript を簡単に挿入できることは理解していますが、これは、コンテンツを読みやすくする無害なスタイルをすべて失うことも意味します。aspx ページに最後に表示したいのは、退屈な「プレーン」テキストです。

私の質問: スタイリング要素を完全に取り除かずに使用できる、市場/Web 上の別のライブラリはありますか? つまり、CSS 内の悪意のある可能性のある属性のみを選択的に削除するということです。

検索してみましたが、あまり運がありません。誰かが知っている場合は、ここに回答を投稿していただけますか? 現在のソース コードを変更できることはわかっていますが、クロス サイト スクリプティングの知識があまりないので、利用可能なプロジェクトがあればそれを使用したいと思っています。

ありがとうございます！

私はいくつかのAntiXSS作業を行っています。ユーザーがテキストを入力し、それを入力します。

そしてデータベースに保存されます。

このテキストは、ラベルまたはテキストボックスのいずれかに表示できます。

エンコードされたテキストをラベルのtextプロパティに入れると、正常に表示されます。テキストボックスのtextプロパティに割り当てると、エンコードされた形式で表示されます。

テキストボックスとラベルにテキストを正しく表示するにはどうすればよいですか？ライブラリはデコードメカニズムを提供していますか？

プロジェクトの要件のため、ライブラリまたは入力でエンコードされているという事実を変更することはできません。

私のアプリケーションでは、リッチ テキスト ボックスを使用していますが、どちらを使用するのがより安全なのだろうかと思います。

• bbcode パーサーを備えた bbcode リッチ テキスト ボックス、

また

• html でエンコードされたタグを含むリッチ テキスト ボックス、および Microsoft アンチ XSS サニタイザーによる検証

カスタム bbcode バリデーター/サニタイザーを作成する必要があるため、最初のアプローチは実装が少し難しいと思います。

では、どの方法を使用しますか? また、その理由は何ですか?

私は単純なフォーラム アプリケーションを持っています。誰かがコンテンツを投稿すると、次のようになります。

今、私が何か間違ったことをしているのか、それとも何が起こっているのかはわかりませんが、html はほとんど許可されていません。シンプルでさえ<b></b>、それには多すぎます。だから私はそのツールはまったく役に立たないと思います。

ここで私の質問: ユーザーの入力をサニタイズして、画像 (<img>タグ) を投稿したり、太字の強調などを使用したりできるようにする方法を誰か教えてもらえますか?

AntiXssEncoder を使用した ASP .Net マークアップ

次のようにレンダリングします。

これは、キャリッジ リターンに展開された数字参照として有効な HTML5 ではありません。コードが実際の文字ではなく数字の参照を使用して記述されている理由は、このページに基づいて AntiXss がデフォルトの HttpEncoder となる ASP .NET でページが記述されているためです: http://haacked.com/archive/2010 /04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx .

AntiXss エンコーダーを削除すると問題は解決しますが、AntiXss エンコーダーを保持し、「キャリッジ リターン」と「ライン フィード」の両方の数字参照を送信しないようにする方法はありますか?

私がこれを正しく行っているかどうかはわかりません。
ページへの攻撃を防ぐために初めて何かを構築します。
私は下から始めます:
私は財産を持っています:

ユーザーはtinyMCEを介して値を設定できます

これをデータベースに保存する前に、コントローラーで次のことを行います。

データベースには、次のような値があります。

プロジェクトに AntiXSS ライブラリを追加しました。

データベースからデータを表示するときは、次を使用します。

そして、それは正常に機能します。テキストしか表示されません。Html タグはありません。ブレークラインは正常に機能します。太字、斜体などでテキストのスタイルを設定できます。

しかし、私が入力した場合：

アラートウィンドウが表示されました。
これを防ぐためにもっと何かをする必要があるのか​​ わかりませんか？

コントローラのアクションに Jquery Ajax を使用して POST リクエストを作成しているときに、SSL を使用せずに、POST リクエストで URL を暗号化し、コントローラ アクションで復号化する方がよいでしょう。

ANtiXSS ライブラリに出くわしました。必要なものを提供してくれますか。

よろしく、クレシ

xss攻撃に対してWebアプリケーションをテストしています。イベントのリストがあり、それぞれにコメント領域があるという点で、イベントの1つに、このスクリプトを挿入しました。

イベントにはコメントがあるというフラグが表示されましたが、表示されていません。ここでの問題は、そのイベントをクリックするとアプリがクラッシュし、ブラウザに「ページの回復」が表示されることです。

しかし、Chromeでは、そのスクリプトを受け入れ、空のコメント（ ""）として表示しますが、クラッシュしないのはなぜですか？

IEでブラウザの設定をリセットしましたが、同じ問題が発生します。それは、Chromeがウイルスを処理していないため（わからない）、またはIEがウイルスを処理しているためですか？

そして、私はこのスクリプトを試しました、

どちらのブラウザも、クラッシュすることなく同じように動作します。

それで、そこで何が起こっているのかを教えていただけますか？

HTMLに挿入されるサーバー側でJavaScriptをエンコードする必要があります。Microsoft.Security.Application.Encoder.JavaScriptEncode（）を使用していますが、ビューソースからは次のようになります。

'var DesignTheme \ x3d \ x7b \ x22StyleId \ x22 \ x3a \ x2235 \ x22、\ x22BackgroundColor \ x22 \ x3a \ x22 \ x23DDF1FA \ x22、\ x22HeaderColor \ x22 \ x3a \ x22 \ x230B70A6 \ x22、\ x22ButtonColor \ x22 \ x22 \ x2347B937 \ x22、\ x22BoxBackgroundColor \ x22 \x3a...。

何が得られますか？エンコードに間違った方法を使用していますか？目標はクロスサイトスクリプティングを防ぐことであり、このjavascriptは、最近のWebサイトのセキュリティスキャンで危険信号を投げかけました。