我正在评估Microsoft Anti-Cross Site Scripting Library(AntiXSS V3)
我不得不说,在我看来,除了提供一个更全面的可接受字符的白名单之外,它并没有真正为聚会带来任何编码所有用户/代理可修改输出的勤奋程序员不会做的事情反正。
我错过了一招吗?
答案 0 :(得分:5)
我认为你没有遗漏任何东西,除了知道正确安全编码的程序员数量非常少,能够做得恰到好处的程序员数量更少。
编写这些库是为了让普通开发人员更轻松,我认为任何由Microsoft编写的具有增强安全性明确目的的库都将由专家(或编码人员团队)完成。在现场,而不是正常的日常开发人员,专注于他们公司的需求。 (我认为他们会非常重视这一点,考虑到微软的产品总是被描绘成被MS-haters描绘为“不安全”)
作为并行,请考虑加密。勤奋的编码器可以提出安全的加密算法。但是,OWASP指南告诉您不要提出自己的算法,而是使用由专家开发并经过充分测试的测试算法。
如果我们有专家的工具为它完成工作,我们为什么要尝试自己做?我会说,仅仅因为这个原因,使用Microsoft Anti-Cross Site Scripting Library会很好,如果它像宣传的那样工作。