被 Ruby on Rails (3) 宠坏了,我希望所有 HTML 输出都能自动编码。
我问这个关于脚本漏洞的问题 https://stackoverflow.com/questions/7136864/script-exploits-in-asp-net-is-the-advice-good/7136904#7136904有点早,现在我想知道,是否有一些 ASP.NET 的设置、插件或扩展会自动导致所有 HTMLHtmlEncode
还是我必须非常小心并独自确保这一点?
各种 ASP.NET 控件自动使用 HtmlEncode 对 HTML 进行编码(还有一些控件使用 UrlEncode 进行 URL 编码),但它并不通用。以下是控件列表以及它们自动执行的编码(如果有)。我不知道是否更新了.NET 4.0:
哪些 ASP.NET 控件自动编码? http://blogs.msdn.com/cfs-file.ashx/__key/communityserver-components-postattachments/00-08-91-89-96/asp.net_5F00_control_5F00_encoding.htm(此链接将要求您保存文档)
这是上述文档来自的博客:
http://blogs.msdn.com/b/sfaust/archive/2008/09/02/which-asp-net-controls-automatically-encodes.aspx http://blogs.msdn.com/b/sfaust/archive/2008/09/02/which-asp-net-controls-automatically-encodes.aspx
它最初发布于 2008 年 9 月,所以当前可能是 2.0,但不一定是 4.0。不过,在我看来,这仍然是一个有用的资源。
您还应该看看.
正如 alexandre 所指出的,Anti-XSS 库现在似乎是开源 Web 保护库的一部分:
微软网络保护库 http://wpl.codeplex.com/
Also, OWASP http://www.owasp.org是安全信息的良好资源,并且他们有一个企业安全 API 项目 (ESAPI),可以(在不同程度上)以各种编程语言使用。我相信 .NET 尚未完成。
OWASP 企业安全 API https://www.owasp.org/index.php/Esapi
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)