Microsoft AntiXSS wpl, использующий в приложении asp.net mvc3

Question

Насколько я знаю, asp.net mvc3 довольно безопасен, но есть ли места, где я могу использовать библиотеку Microsoft AntiXSS для большей безопасности? http://wpl.codeplex.com/

Как я могу найти какие-либо места внутри моего приложения, где я могу использовать это? Может быть, кто-нибудь найдет что-нибудь, где эта библиотека может быть использована внутри asp.net mvc3?

Answer 1

Ну, как владелец AntiXSS, я бы сказал, что да. Однако я пристрастен:)

AntiXSS дает вам

• Дополнительные параметры кодирования - включая кодирование для CSS, JavaScript и LDAP (если вы запрашиваете AD из своего кода)
• Безопасный список, а не небезопасный. Это по своей природе более безопасно, но медленнее. Хотя черный список .NET по умолчанию достаточно хорош, он зависит от того, как ваши системы тоже обрабатывают ввод.

Теперь с AntiXSS 4.1 вы можете легко подключить AntiXSS к MVC и использовать его в качестве кодера по умолчанию. Сейчас это бета-версия, код доступен для скачивания вместе с ограниченными инструкциями по замене кодировщика. Вы должны увидеть релиз до ноября.

Answer 2

Это зависит от того, как используются введенные пользователем данные, которые вы пытаетесь собрать, и от того, сказали ли вы приложению разрешить использование HTML.

Лично я бы использовал библиотеку AntiXss там, где когда-либо ввод позволяет вводить HTML, а затем повторно отображать его на сайте, но в противном случае MVC3 довольно хорошо заблокирует HTML, если вы не сказали, чтобы он позволял вводить HTML. .