我正在使用microsoft anti xss库来形成安全性.我正在使用HtmlFormUrlEncode方法.
如何解码录制的数据?
样本数据 :
mail%40sample.com
%c3%96nder
我有一段JavaScript字符串,来自不受信任的来源,嵌入在onclick标签内部,我不确定这个字符串编码的正确方法是什么.这是HTML的简化:
<input type="button" onclick="alert([ENCODED STRING HERE]);"
value="Click me" />
我使用Microsoft AntiXss库,其中包含几种编码方法.该文本嵌入在HTML/XML属性中,因此使用AntiXss.XmlAttributeEncode方法进行XML属性编码似乎是合适的.但是,它也是一段JavaScript.因此,使用AntiXss.JavascriptEncode方法的JavaScript编码 似乎也是合适的.
我应该选择哪一种方式使我不暴露安全漏洞,同时允许正确显示文本?
XmlAttributeEncode此文本并将其放在标记中的自定义属性中.之后我使用一些JavaScript从这个标签中读取它.它基本上看起来像这样:
<input type="button" onclick="alert(this.getAttribute('comment');"
value="Click me" comment="[XML ATTRIBUTE ENCODED TEXT HERE]" />
虽然这很好地解决了问题,但我仍然非常好奇如何在XML属性中正确编码JavaScript.
在我看来,使用html敏捷包可以起到防止xss(解析然后获取innertext)的作用.使用hap后使用antixss是否重复?
谢谢,棒.
我正在阅读一些问题,试图找到一个很好的解决方案来防止用户提供的URL中的XSS(它变成一个链接).我找到了一个PHP,但我似乎无法找到.Net的任何东西.
要清楚,我想要的是一个库,它将使用户提供的文本安全(包括unicode陷阱?)并使用户提供的URL安全(用于a或img标记)
我注意到StackOverflow具有非常好的XSS保护,但令人遗憾的是MarkdownSharp似乎缺少部分Markdown实现.(我使用MarkdownSharp获取了很多内容)
我目前正在尝试保护我的网站免受 Url 中的 XSS 攻击。例如,如果攻击者使用 Firefox,他们可以执行以下操作
myxsssite.com/mypage.aspx?d"><script class="none&>alert(1);</script clas="none&><!--=1
并且脚本将被运行。我已经搜索了几天,似乎找不到有效的解决方案。目前我已经尝试过 MS 的 AntiXSS 库。我认为它不能正常工作,我正在像这样编码整个 url
Mircosoft.Security.Application.Encoder.HtmlEncode(path);
我也尝试了这个类中的所有其他方法,并且在页面加载之前脚本仍在执行。我将 ASP.net 3.5 与 Webforms 一起使用,但无法升级。
在其中一个网站中,我发现文章中的状态:
AntiXSS库采用可接受列表方法,而.NET Framework采用阻止列表方法.
请解释一下这是什么意思accepted-list approach和blocked-list approach???