如何在我的项目中使用AntiXss?

时间:2011-06-02 03:54:07

标签: c# jquery asp.net antixsslibrary

我想在我的Web应用程序中使用AntiXss库函数。我有一个Web应用程序,其中包含带有Jquery代码的asp.net页面。整个asp.net页面通过Jquery js页面运行。我想将编码函数应用于某些字段,但问题是如何应用以及在何处应用编码unction - (在jquery页面中将值设置为在输出窗口0r上显示服务器端代码,其中get data API调用在cs文件中。)以及在这种情况下使用的函数(HtmlEncode,JavascriptEncode等)

提前致谢

1 个答案:

答案 0 :(得分:6)

防止XSS攻击背后的基本思想是所有输入数据(来自用户或说外部应用程序)应被视为不受信任/不安全,因此必须在接受和/或编码时进行验证,同时在输出中进行复制(html ,js等)。

AFAIK,AntiXss是服务器端库,因此您无法使用它来编码浏览器中的值。在将这些值发送到客户端之前,您必须在服务器端应用编码(到html / html属性/ JS等)(例如在aspx页面或asmx / SCF服务中将数据发送到客户端,其中java脚本将要处理数据作为html或脚本)。

请参阅此article - 虽然已过时,但它仍然是一个很好的资源,从AntiXss lib开始,它还列出了使用 "Determining Encoding Method to Use" <下的各种编码方法的方案/ p>