Анти-XSS и Классический ASP

Question

В настоящее время я пытаюсь защитить свое классическое приложение ASP от XSS. Я наткнулся на AntiXSS от Microsoft в сети, и мне было интересно, будет ли это работать с классическим приложением?

Если нет, то у вас есть какие-либо идеи, как я могу провести санацию струн?

Answer 1

Чтобы очистить строки, я бы закодировал все выходные данные в формате HTML, чтобы вам не приходилось тратить время на специальные символы или огромные выражения регулярных выражений

Server.HTMLEncode(string) 

Двумя наиболее важными контрмерами для предотвращения межсайтовых скриптовых атак являются:

• Ограниченный ввод.
• Кодированный вывод.

через Как: предотвратить межсайтовый скриптинг в ASP.NET (я знаю, что я не классический asp, но есть похожие принципы)

Answer 2

Если функции не существуют в классическом ASP, напишите их.

• http://snipplr.com/view/12446/add-and-strip-slashes/
• http://snipplr.com/view/12207/htmlspecialchars/
• http://snipplr.com/view/10608/striptags/

Answer 3

Если вам нужно разрешить определенные теги HTML (как я делаю в моем текущем проекте), вы можете использовать регулярное выражение, чтобы разрешить только эти теги и никаких других, например:

set objRegExp = new RegExp
with objRegExp
    .Pattern = "<^((b)|(i)|(em)|(strong)|(br))>.*</.*>"
    .IgnoreCase = varIgnoreCase
    .Global = True
end with
cleanString = objRegExp.replace(originalString, "")

Answer 4

<% 
Response.AddHeader "X-XSS-Protection", "1" 
%>

Answer 5

Не легко - вам нужно сделать обертку, вызываемую COM, установить на серверах и т. Д. Я просто не думаю, что она подходит для «классического» ASP.