Как использовать AntiXss в моем проекте? - PullRequest
5 голосов
/ 02 июня 2011

Я хочу использовать библиотечную функцию AntiXss в своем веб-приложении. У меня есть веб-приложение, которое содержит страницы asp.net с кодом Jquery в коде позади. Целые страницы asp.net проходят через JQ-страницы Jquery. Я хочу применить функцию кодирования к некоторым полям, но проблема в том, как применить и где применить кодировку unction - (На странице jquery, где установить значение, которое будет отображаться в окне вывода 0r в коде серверной части, где вызывается API данных, называемый в файлах cs.) И какую функцию использовать в этих сценариях (HtmlEncode, JavascriptEncode и т. д.)

Заранее спасибо

1 Ответ

6 голосов
/ 02 июня 2011

Основная идея предотвращения атак XSS заключается в том, что все входные данные (от пользователя или, скажем, внешнего приложения) должны рассматриваться как ненадежные / небезопасные и, следовательно, должны быть либо проверены при принятии, и / или закодированы при воспроизведении в выводе (html)., js и т. д.)

AFAIK, AntiXss - это библиотека на стороне сервера, поэтому ее нельзя использовать для кодирования значений в браузере.Вы должны применить кодировку (к атрибуту html / html / JS и т. Д.) На стороне сервера перед отправкой этих значений клиенту (например, на странице aspx или в службах asmx / SCF, которые отправляют данные клиенту, где java-скрипт будет обрабатыватьданные в виде html или скрипта).

См. эту статью - хотя она устарела, она по-прежнему является хорошим ресурсом для запуска с AntiXss lib и в ней также перечислены сценарии использования различных методов кодирования в «Определение метода кодирования для использования»

...