微软的AntiXSS库已经broken了6个月,看起来已经放弃了(可能是也可能不是正式的)。由于先前版本存在安全问题,因此回滚到早期版本是不安全的。在使用Microsoft(特别是MVC)堆栈时,是否有任何针对AntiXSS和Web安全的积极开发的替代方案?
答案 0 :(得分:5)
2012年6月发布的ajax控件工具包中有一个新的xss清洁剂。该工具包最初也使用了microsoft anti xss库,因此他们遇到了同样的问题。新的消毒剂基于HtmlAgilityPack
答案 1 :(得分:3)
我有同样的问题,我一直在寻找一个解决方案的高低,但没有找到任何其他的东西。
基本上,我认为前进的唯一选择是使用一些WMD风格(就像他们在Stackoverflow上做的那样)...将其作为WMD标记发送回服务器然后将其作为HTML保存在数据库中然后转换当它在服务器上的页面上吐出时,它是html。
这可能是一个好的开始:http://code.google.com/p/pagedown/
答案 2 :(得分:2)
您是否看过Open Web Application Security Project(OWASP)? Troy Hunt在他的博客上发表了一篇很好的帖子,请点击此处查看:
http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
请注意,我自己还没有使用它,所以我不确定它是你正在寻找的,只是想我会分享它。