Microsoft AntiXSS wpl, использующий в приложении asp.net mvc3

Question

Microsoft AntiXSS wpl, использующий в приложении asp.net mvc3

Насколько я знаю asp.net mvc3 является достаточно безопасным, но есть ли места, где я могу использовать библиотеку Microsoft AntiXSS для большей безопасности? http://wpl.codeplex.com/

Как я могу найти какие-либо места внутри моего приложения, где я могу использовать это? Может быть, кто-нибудь найдет что-нибудь, где эта библиотека может быть использована внутри asp.net mvc3?

1

security asp.net-mvc-3 antixsslibrary

Источник

user923134 02 сен '11 в 08:33

2 ответа

Другие вопросы по тегам security asp.net-mvc-3 antixsslibrary

user2525 02 сен '11 в 16:23 2011-09-02 16:23 · Answer 1 · 2011-09-02 16:23

Ну, как владелец AntiXSS, я бы сказал, что да. Однако я пристрастен:)

AntiXSS дает вам

Дополнительные параметры кодирования - включая кодирование для CSS, JavaScript и LDAP (если вы запрашиваете AD из своего кода)
Безопасный список, а не небезопасный. Это по своей природе более безопасно, но медленнее. Хотя черный список.NET по умолчанию достаточно хорош, он также зависит от того, как ваши системы обрабатывают ввод.

Теперь с помощью AntiXSS 4.1 вы можете легко подключить AntiXSS к MVC и использовать его в качестве кодера по умолчанию. Сейчас это бета-версия, код доступен для скачивания вместе с ограниченными инструкциями по замене кодировщика. Вы должны увидеть релиз до ноября.

user839992 02 сен '11 в 12:06 2011-09-02 12:06 · Answer 2 · 2011-09-02 12:06

Это зависит от того, как используются введенные пользователем данные, которые вы пытаетесь собрать, и от того, сказали ли вы приложению разрешить использование HTML.

Лично я бы использовал библиотеку AntiXss там, где когда-либо ввод позволяет вводить HTML, а затем повторно отображать его на сайте, но в противном случае MVC3 будет достаточно хорошо блокировать HTML, если вы не сказали, чтобы он позволял вводить HTML.