我们现有ASP.Net Application 3.5。我们已经完成了安全审计,我们发现我们可以通过我们的应用程序进行XSS攻击。
由于我们有现有的应用程序和100多个模块 - 我们可以通过简单的方式进行一些配置(最小的努力,而不是去每个页面和编码输出)。
我们也有几页我们甚至需要允许HTML编辑器。
请建议我轻松快捷地解决此问题。
答案 0 :(得分:0)
由于我们有现有的应用程序和100多个模块 - 我们可以通过简单的方式进行一些配置(最小的努力,而不是去每个页面和编码输出)。
有一些黑客攻击,比如内置的ASP.NET“请求验证”,或者MS Anti-XSS中的“安全运行时引擎”,它试图过滤出它认为可能是攻击你的方式的攻击应用
从长远来看,这些通常是一个非常糟糕的解决方案,因为它们无法解决所有可能的攻击,并且它们会打破一些不是攻击的输入。但这可能是一个有用的临时解决方法,直到您可以正确修复应用程序,以便在将字符串放入包含上下文的任何位置进行转义,并设置合适的开发标准和控件以阻止更多上下文模板进入代码库。
我们也有几页我们甚至需要允许HTML编辑器。
您需要一个HTML清理程序库来过滤掉所有可接受的白名单标签/属性。这是one。