安全审核的结果显示我们的网站可能容易受到XSS攻击。目前我们对此的唯一保护是在所有页面上使用默认的ValidateRequest =“true”。我一直在研究微软的Anti-XSS库,看完this video之后我想实现安全运行时引擎模块来保护所有页面,而不是手动编码每个单独的项 [1] < / strong>即可。
我遇到的问题是使用SRE配置生成器生成antixssmodule.config文件。它正在寻找一个程序集,但我们的站点是使用一个Website项目而不是一个Web应用程序项目构建的,因此没有内置到程序集中。我仍然可以以某种方式生成配置文件,以便我可以使用SRE,或者可能有一个可下载版本的此文件,并且已经定义了常用的控件?
[1] 我也无法使用CAT.NET工具来发现所有可能的漏洞,因为该工具也在寻找程序集。
答案 0 :(得分:2)
基本上没有,没有目标程序集就无法生成,因此网站项目将无法正常工作。当然,您可以使用默认的web.config来获取所有Microsoft Web控件(我相信)。
然而,SRE是一个围绕易受攻击的网站的补丁,直到你可以修复它们,它不是一个永久的解决方案。更好的方法是解决潜在的问题,并确保在将所有不受信任的输入输出到浏览器之前对其进行编码。