Библиотека Anti-XSS - использовать с веб-сайтом ASP .Net (в сравнении с веб-приложением)?

Question

Результаты аудита безопасности показали, что наш сайт может быть уязвим к атакам XSS.В настоящее время единственной защитой от этого является использование по умолчанию ValidateRequest = "true" на всех страницах.Я изучал библиотеку Microsoft Anti-XSS и после просмотра этого видео я хотел бы внедрить модуль Security Runtime Engine для защиты всех страниц вместо ручного кодирования каждого отдельного элемента [ 1] .

Проблема, с которой я столкнулся, заключается в создании файла antixssmodule.config с использованием генератора конфигурации SRE.Он ищет сборку, но наш сайт построен с использованием проекта веб-сайта, а не проекта веб-приложения, и поэтому не встроен в сборку.Могу ли я как-то сгенерировать конфигурационный файл, чтобы я мог использовать SRE, или, возможно, существует версия этого файла для загрузки с уже определенными обычно используемыми элементами управления?

[1 ] Я также не могу использовать инструмент CAT.NET для обнаружения всех возможных уязвимостей, потому что этот инструмент также ищет сборку.

Answer 1

В основном нет, вы не можете создавать без целевой сборки, поэтому проекты веб-сайтов не будут работать.Конечно, вы можете использовать стандартный web.config, который получает все веб-элементы управления Microsoft (я считаю).

Однако SRE подразумевается как патч для уязвимых веб-сайтов, пока вы не сможете их исправить, это не постоянное решение.Лучшим подходом было бы решить основные проблемы и убедиться, что вы кодируете все ненадежные входные данные, прежде чем выводить их в браузер.