有没有好的.NET安全编码库?
一直在研究各种注入型攻击,似乎消除这些漏洞的最佳方法是对所有用户输入进行编码,以删除/替换某些字符(<>;等) 我最好的赌注是什么?有没有什么好的图书馆可以帮我?或者能帮我发现潜在的外阴能力还是正则表达式是我的最佳选择?:)有没有好的.NET安全编码库?,.net,security,encoding,code-injection,.net,Security,Encoding,Code Injection,一直在研究各种注入型攻击,似乎消除这些漏洞的最佳方法是对所有用户输入进行编码,以删除/替换某些字符(;等) 我最好的赌注是什么?有没有什么好的图书馆可以帮我?或者能帮我发现潜在的外阴能力还是正则表达式是我的最佳选择?:) 非常感谢ASP.NET页面实例中的服务器(可通过页面访问,即此)提供了一种HtmlEncode()方法,足以防止XSS攻击 默认情况下,ASP.NET不会在web.config中或通过页面指令明确允许它,而是会拒绝任何带有错误页面的可疑输入。查看。和 其中,我将投票支持ESAP
非常感谢ASP.NET
页面
实例中的服务器
(可通过页面
访问,即此
)提供了一种HtmlEncode()
方法,足以防止XSS攻击
默认情况下,ASP.NET不会在web.config
中或通过页面指令明确允许它,而是会拒绝任何带有错误页面的可疑输入。查看。和
其中,我将投票支持ESAPI,因为我使用了ESAPI的Java版本来防止XSS攻击。请记住,数据的纯HTML编码不会阻止XSS如果要动态生成JavaScript并将其注入服务器的响应中,则必须对其进行转义。对于跨站点脚本保护,您有3个不错的选择: 我想按这个顺序试一试
任何证明ESAPI.NET有用性的评论都会很有帮助。Dupe of:谢谢你的链接。在发布ofc之前进行了搜索,但没有发现:)这不是一个骗局,尽管这个问题是关于删除您要查找的内容,根据不同的输出位置对数据进行正确编码,而另一个主题的答案实际上并不总是安全的。所以你也不应该依赖这个答案。。这看起来很棒:真不敢相信,如果它真的做到了他们所说的那样,它就不会大肆宣传了:)