• 微软AntiXSS防止xss攻击类库


    AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。

    AntiXSS最新版的下载地址:http://wpl.codeplex.com


    下载安装之后,安装目录下有以下文件:
    AntiXSS.chm:

         包括类库的操作手册参数说明。

    AntiXSSLibrary.dll:

         包含Antixss,Encoder类(输出转义),AntiXSS类中的方法已经过时,建议使用Encoder类中相同的方法。
    HtmlSanitizationLibrary.dll:

         包含Sanitizer类(输入白名单),只包含GetSafeString和GetSafeHtmlFragment两个方法。

    使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary.dll
    导入命名空间using Microsoft.Security.Application;


    我们需要决定使用哪个编码函数。接下来的表格将帮助你决定使用哪个编码函数:

    编码函数

    应该使用的场景

    示例/模式

    HtmlEncode

    不可信的输入被用作html输出,被分配给一个html属性除外

    <a href="http://www.contoso.com">Click Here [Untrusted input]</a>

    HtmlAttributeEncode

    不可信的输入作为一个html属性

    <hr noshade size=[Untrusted input]>

    JavaScriptEncode

    不可信的输入作为一个javascript上下文

    <script type="text/javascript">

    [Untrusted input]

    </script>

    UrlEncode

    不可信的输入作为一个url(例如作为一个查询参数的值)

    <a href="http://search.msn.com/results.aspx?

    q=[Untrusted-input]">Click Here!</a>

    VisualBasicScriptEncode

    不可信的输入作为一个visual basic上下文

    <script type="text/vbscript" language="vbscript">

    [Untrusted input]

    </script>

    XmlEncode

    不可信的输入作为一个xml输出,除了把它作为一个xml节点的属性

    <xml_tag>[Untrusted input]</xml_tag>

    XmlAttributeEncode

    不可信的输入作为一个xml的属性

    <xml_tag attribute=[Untrusted input]>Some Text</xml_tag>

     

     

    在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。 确保所有输出内容都经过 HTML 编码。



    AntiXss类库是一款预防注入攻击的开源类库,它通过白名单机制进行内容编码。目前它支持这些输入类型:XML,HTML,QueryString,HTMLFormURLEncode,Ldap,JavaScript。在日常的开发中我们并不会安全编码像Ldap或JavaScript这样的输入类型,大多都是对XML,QueryString或Form URL进行安全编码。下面是个安全编码XML文件的小例子:

  • 相关阅读:
    php简单实现MVC
    windows获取窗口句柄
    UPX编译及so加固
    Markdown: Syntax
    Markdown: Syntax Text
    BIOS将MBR读入0x7C00地址处(x86平台下)
    TPFanControl.ini
    深入浅出GNU X86-64 汇编
    CPU vector operations
    Google开源项目风格指南
  • 原文地址:https://www.cnblogs.com/l1pe1/p/8440946.html
Copyright © 2020-2023  润新知