asp.netでクロスサイトスクリプティングを防止するために使用できる手法は何ですか? xssから保護されたWebサイトを実現するために使用できる、準備が整っていない実装はありますか?Asp.NETでXSSを防止する方法
2
A
答えて
2
この目的のために社内で長年開発していましたが、最終的にマイクロソフトはライブラリを提供しました。私たちは今、私たちのライブラリを完全にこのライブラリに置き換えました。
string sanitizedString = Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(string myStringToBeChecked);
この方法の唯一の問題は、それは行末文字で区切られている複数の空白をトリムということである。これは次のように簡単に使用することができます。そのようなことが起こらないようにするには、文字列を行末の文字(\ r \ n)に対して最初に分割し、それらの前後の空白の数を計算し、サニタイザを適用し、空白を追加して連結します。
それ以外は、Microsoftライブラリが正常に動作します。
1
マイクロソフトのクロスサイトスクリプティングライブラリは良いスタートです。 XSSを防ぐための便利なヘルパーメソッドがいくつかあります。これは今や大きな部分の一部ですMicrosoft Web Protection Library
0
以下の方法でクロスサイトスクリプティング攻撃を防御する。それが働いた
1. Use HtmlEncoding while saving the input content that is received from web application controls usch as textbox etc.
2. Use InnerText instead of InnerHtml while displaying data on the page.
3. Do the input sanitization before saving the data into database.
関連する問題
- 1. XSS攻撃防止
- 2. DOM XSSの防止
- 3. XSS攻撃を防止する
- 4. Spring MVSでのXSSの防止
- 5. JavascriptとXSS攻撃の防止
- 6. タイプ0(DOMベース)JSPアプリケーションのXSS防止
- 7. XSS攻撃を防ぐ方法tomcat 5.5
- 8. PHPでURLエンコードされたXSS攻撃を防止する
- 9. ユーザー入力を出力する - xssを防止する
- 10. asp.net C#Webページボタンでリフレッシュを防止する方法は?
- 11. 例外ASP.NETをスローするWebキャッシングを防止する方法?
- 12. URLをサニタイズしてXSSを防止する
- 13. DelphiでProcessMessagesを防止する方法
- 14. JavaScriptでイベントチェインを防止する方法
- 15. 複数のASP.NET MVCルートマッピングを防止する方法
- 16. asp.netでのスクリプトリロードを防止する
- 17. ASP.NET - 防止ページModalPopupExtender
- 18. StrutsでのXSSの脆弱性を防ぐ方法
- 19. WYSIWYGエディタからHTMLをレンダリングする必要がある場合のXSS攻撃を防止する方法は?
- 20. フォーム送信を防止する方法
- 21. 防止する方法<script>アラート( 'xss vector');</script>種類の攻撃ですか?
- 22. ASP.NET GridView - 列のワードラップを防止する
- 23. ASP.NET MVC - Ajax.ActionLinksのキャッシュを防止する
- 24. ASP.NETでは、隠しフィールド値の改ざんを防止する方法
- 25. XSS攻撃を防ぐ
- 26. Apache Commons StringEscapeUtilsとXSS防止のためのJSoup?
- 27. XSSの不正な形式のタグを防ぐ方法
- 28. PHPを使用してイメージ内のXSS攻撃を防止する
- 29. ASP.NETウィンドウフォーム認証を使用して非ローカルアクセスを防止する方法
- 30. asp.net mvcでxssをサニタイズする
感謝:) – User05
は残念ながら、AntiXSS.GetSafeHtmlFragment()は最新バージョン(V 4.2.1)で、古いバージョンでは脆弱と役に立たないようになって - それは今可能ほぼすべてのHTMLタグを取り除き、となりました使用できない:( – BornToCode