Microsoft Web Protection Library您是否拥有自己的白名单? +其他问题

时间:2010-06-19 17:47:22

标签: c# javascript asp.net-mvc security

如果Microsoft Web Protection Library可以包含自定义白名单http://wpl.codeplex.com/

我也想知道你是否需要做一些特别的事情才能让它与asp.net mvc一起使用?

我正在通过它的方法,我看到了

AntiXss..::.GetSafeHtml 
AntiXss..::.GetSafeHtmlFragment Method 
AntiXss..::.HtmlEncode Method 
AntiXss..::.JavaScriptEncode Method 
AntiXss..::.UrlEncode Method

是否存在在一个命令中执行所有这些操作的内容,或者我必须逐行确定要使用哪个命令?

1 个答案:

答案 0 :(得分:0)

  

我是否必须逐行确定   哪一个使用

是的,您必须决定使用哪一个。但这不是图书馆的问题。每种输出都需要自己的输入。

如果你有

<script language="JavaScript" >
alert('<%=  Model.PropertyName %>')
 </script>

你需要Javascript编码(最简单的攻击会使用'不是由HtmlEnocde处理的)

但如果你有

<a href="ur"><%= Model.PropertyName %></a>

你需要Html.Encode

我认为GetSafeHtmlFragment用作Html属性,但我不是那么害羞。

  

我也想知道你需要做什么   什么特别的东西让它工作   用asp.net mvc?

只需将名称空间添加到您的视图中,然后使用AntiXss.HtmlEncode(“”)。

我看过一篇帖子,其中展示了如何配置ASP.NET MVC以使用AntiXss库来处理&lt;%:%&gt;但我觉得它没那么大,因为助手stille使用硬编码编码器。

相关问题
最新问题