Jon*_*way 10 security xss antixsslibrary asp.net-mvc-3
我正在寻找一个XSS漏洞的例子,只需使用AntiXSS Encoder 4.1 Beta作为运行时编码器(在system.web/httpRuntime中设置)就可以阻止该漏洞.我更喜欢不需要任何显式调用AntiXss函数的东西,比如
@AntiXss.JavaScriptEncode(ViewBag.UserName)
我正在考虑一些可以通过ASP.NET黑名单获得但不会通过AntiXSS白名单的内容,可能与备用字符集或编码有关?
我测试过UTF-7漏洞,但看不到任何影响现代浏览器的漏洞.
没有。嗯,这并不完全正确,它们不是在现代浏览器上运行的。
SDL 要求它的原因是使用安全列表本质上更安全 - 因此,如果有人突然发现有问题的字符,它可能已经被编码(取决于您配置的安全列表)。
| 归档时间: |
|
| 查看次数: |
2760 次 |
| 最近记录: |