对防御 XSS 和使用哪些工具感到困惑
Confused about protecting against XSS and which tools to use
VS2013,MVC,VB
我现在问这个问题是因为自从我阅读了大部分关于 XSS 保护的帖子以来已经过去了很多时间。
本着 SO 的精神,我的技术问题是是否有人可以确认 Microsoft 的 HtmlAgilityPack 并没有真正执行 AntiXSS 所做的事情。我读过有人建议 AntiXSS 有问题的帖子,所以他们使用了 htmlAgilityPack,但是随后的帖子,包括 SO 上的帖子,清楚地表明它们不是同一个工具。 AntiXSS 是用来保护 XSS 的工具。
如果有人能澄清一下,我将不胜感激。
第二个问题本身并不是要提出意见问题,而是要询问之前针对 AntiXSS 提出的问题是否已大体解决,以及是否是使用 MVC 时用于 XSS 保护的正确工具。
我的意图是使用白名单方法进行 XSS 保护。
遵循 this post 的指导,作为使用 html 敏捷包编写白名单过滤器的基础。 link 显示了网页方法中使用的函数,但基本算法在 MVC 项目的控制器中进行了很好的编码,以清理来自 RTF/WSIWYG 编辑器(CKEditor)
的输入
VS2013,MVC,VB
我现在问这个问题是因为自从我阅读了大部分关于 XSS 保护的帖子以来已经过去了很多时间。
本着 SO 的精神,我的技术问题是是否有人可以确认 Microsoft 的 HtmlAgilityPack 并没有真正执行 AntiXSS 所做的事情。我读过有人建议 AntiXSS 有问题的帖子,所以他们使用了 htmlAgilityPack,但是随后的帖子,包括 SO 上的帖子,清楚地表明它们不是同一个工具。 AntiXSS 是用来保护 XSS 的工具。
如果有人能澄清一下,我将不胜感激。
第二个问题本身并不是要提出意见问题,而是要询问之前针对 AntiXSS 提出的问题是否已大体解决,以及是否是使用 MVC 时用于 XSS 保护的正确工具。
我的意图是使用白名单方法进行 XSS 保护。
遵循 this post 的指导,作为使用 html 敏捷包编写白名单过滤器的基础。 link 显示了网页方法中使用的函数,但基本算法在 MVC 项目的控制器中进行了很好的编码,以清理来自 RTF/WSIWYG 编辑器(CKEditor)
的输入