正在阅读各种注入型攻击,似乎摆脱这些漏洞的最佳方法是编码所有用户输入以删除/替换某些字符与其他人(<>;等)。 / p>
这里最好的选择是什么?有没有漂亮的图书馆来帮我这个?还是可以帮助我发现潜在的漏洞的东西? - 或者正则表达式是我最好的选择? :)
非常感谢
答案 0 :(得分:4)
答案 1 :(得分:2)
ASP.NET Server实例中的Page(可通过Page访问,即this)提供了一种HtmlEncode()方法,足以防止XSS攻击。
默认情况下,如果没有在web.config或通过页面指令明确允许它,ASP.NET将拒绝任何带有错误页面的可疑输入。
答案 2 :(得分:2)
其中,我会投票支持ESAPI,因为我使用了Java版本的ESAPI来防止XSS攻击。请记住,数据的纯HTML编码不会阻止XSS。 The context of the data is important as well - 如果要动态生成JavaScript并将其注入服务器的响应中,则必须转义JavaScript。
答案 3 :(得分:0)
答案 4 :(得分:0)
最近我一直在关注ESAPI.NET,项目似乎不完整,也许是非活动的 - 特别是与java软件包相比。
Anti-XSS仅涵盖ESAPI范围的一个子集,实际上,ESAPI.NET使用AntiXSS(尽管不是最新的)进行编码。
任何证明ESAPI.NET有用的评论都会有所帮助。