Thư viện AntiXSS của Microsoft đã được broken trong 6 tháng và có vẻ như bị bỏ rơi (có thể hoặc không chính thức là trường hợp). Do vấn đề bảo mật với các phiên bản trước, không an toàn để quay trở lại bản phát hành trước đó. Có bất kỳ lựa chọn thay thế tích cực nào được phát triển tích cực cho AntiXSS và bảo mật web nói chung khi làm việc với ngăn xếp của Microsoft (đặc biệt là MVC) không?Microsoft AntiXSS Alternative
Có một XSS mới khử trùng vận chuyển với việc phát hành tháng 6 năm 2012 của bộ công cụ kiểm soát ajax. Bộ công cụ này ban đầu đang sử dụng thư viện chống xpl microsoft, vì vậy họ gặp phải cùng một vấn đề. Các khử trùng mới được dựa off the HtmlAgilityPack
Bạn đã xem Dự án bảo mật ứng dụng web mở (OWASP) chưa? Troy Hunt có một bài viết tốt về nó trên blog của mình, kiểm tra xem nó ra ở đây:
http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
Lưu ý rằng tôi đã không làm việc với nó bản thân mình vì vậy tôi không chắc chắn thời tiết nó là những gì you'r tìm cho, chỉ nghĩ rằng tôi muốn chia sẻ nó.
Tôi có cùng một vấn đề và tôi đã tìm kiếm cao và thấp cho một giải pháp nhưng không tìm thấy bất cứ điều gì khác ngoài đó. Về cơ bản, tôi nghĩ rằng tùy chọn duy nhất di chuyển về phía trước là sử dụng một số hương vị của WMD (như họ làm ở đây trên Stackoverflow) ... gửi nó trở lại máy chủ như đánh dấu WMD sau đó lưu nó vào cơ sở dữ liệu dưới dạng HTML và sau đó chuyển đổi nó html khi nhổ nó ra trên trang trên máy chủ.
Đây có thể là một khởi đầu tốt: http://code.google.com/p/pagedown/
Tại sao là quan điểm Razor bảo vệ động cơ XSS không đủ? –
@LeonKhám phá nó không đủ cho các trường hợp người dùng được phép tải lên nội dung html - như khi sử dụng tinymce hoặc một trình soạn thảo văn bản đa dạng thức khác. –
Ah alright. Tôi sợ tôi không thể giúp với điều đó :-) –