AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。
AntiXSS最新版的下载地址:http://wpl.codeplex.com
下载安装之后,安装目录下有以下文件:
AntiXSS.chm:
包括类库的操作手册参数说明。
AntiXSSLibrary.dll:
包含Antixss,Encoder类(输出转义),AntiXSS类中的方法已经过时,建议使用Encoder类中相同的方法。
HtmlSanitizationLibrary.dll:
包含Sanitizer类(输入白名单),只包含GetSafeString和GetSafeHtmlFragment两个方法。
使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary.dll
导入命名空间using Microsoft.Security.Application;
我们需要决定使用哪个编码函数。接下来的表格将帮助你决定使用哪个编码函数:
编码函数 |
应该使用的场景 |
示例/模式 |
HtmlEncode |
不可信的输入被用作html输出,被分配给一个html属性除外 |
<a href="http://www.contoso.com">Click Here [Untrusted input]</a> |
HtmlAttributeEncode |
不可信的输入作为一个html属性 |
<hr noshade size=[Untrusted input]> |
JavaScriptEncode |
不可信的输入作为一个javascript上下文 |
<script type="text/javascript"> … [Untrusted input] … </script> |
UrlEncode |
不可信的输入作为一个url(例如作为一个查询参数的值) |
<a href="http://search.msn.com/results.aspx? q=[Untrusted-input]">Click Here!</a> |
VisualBasicScriptEncode |
不可信的输入作为一个visual basic上下文 |
<script type="text/vbscript" language="vbscript"> … [Untrusted input] … </script> |
XmlEncode |
不可信的输入作为一个xml输出,除了把它作为一个xml节点的属性 |
<xml_tag>[Untrusted input]</xml_tag> |
XmlAttributeEncode |
不可信的输入作为一个xml的属性 |
<xml_tag attribute=[Untrusted input]>Some Text</xml_tag> |
在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用
GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。 确保所有输出内容都经过
HTML 编码。
AntiXss类库是一款预防注入攻击的开源类库,它通过白名单机制进行内容编码。目前它支持这些输入类型:XML,HTML,QueryString,HTMLFormURLEncode,Ldap,JavaScript。在日常的开发中我们并不会安全编码像Ldap或JavaScript这样的输入类型,大多都是对XML,QueryString或Form URL进行安全编码。下面是个安全编码XML文件的小例子: