Antixss使用

转载 2016年08月29日 10:30:12

AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义

AntiXSS最新版的下载地址:http://wpl.codeplex.com


下载安装之后,安装目录下有以下文件:
AntiXSS.chm:

     包括类库的操作手册参数说明。

AntiXSSLibrary.dll:

     包含Antixss,Encoder类(输出转义),AntiXSS类中的方法已经过时,建议使用Encoder类中相同的方法。
HtmlSanitizationLibrary.dll:

     包含Sanitizer类(输入白名单),只包含GetSafeString和GetSafeHtmlFragment两个方法。

使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary.dll
导入命名空间using Microsoft.Security.Application;


我们需要决定使用哪个编码函数。接下来的表格将帮助你决定使用哪个编码函数:

编码函数

应该使用的场景

示例/模式

HtmlEncode

不可信的输入被用作html输出,被分配给一个html属性除外

<a href="http://www.contoso.com">Click Here [Untrusted input]</a>

HtmlAttributeEncode

不可信的输入作为一个html属性

<hr noshade size=[Untrusted input]>

JavaScriptEncode

不可信的输入作为一个javascript上下文

<script type="text/javascript">

[Untrusted input]

</script>

UrlEncode

不可信的输入作为一个url(例如作为一个查询参数的值)

<a href="http://search.msn.com/results.aspx?

q=[Untrusted-input]">Click Here!</a>

VisualBasicScriptEncode

不可信的输入作为一个visual basic上下文

<script type="text/vbscript" language="vbscript">

[Untrusted input]

</script>

XmlEncode

不可信的输入作为一个xml输出,除了把它作为一个xml节点的属性

<xml_tag>[Untrusted input]</xml_tag>

XmlAttributeEncode

不可信的输入作为一个xml的属性

<xml_tag attribute=[Untrusted input]>Some Text</xml_tag>


  • 在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。
  • 确保所有输出内容都经过 HTML 编码。
  • 相关文章推荐

    使用antixss防御xss

    http://security.zdnet.com.cn/security_zone/2011/0713/2046720.shtml AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可...

    使用antixss防御xss

    本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制...
    • god_7z1
    • god_7z1
    • 2012年08月02日 11:19
    • 353

    AntiXSS - 支持Html同时防止XSS攻击

    跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。 但是如果想用户输...
    • god_7z1
    • god_7z1
    • 2011年11月01日 10:42
    • 316

    SQLServe_使用T-SQL语句创建数据库、创建表以及表的约束

    if exists(select * from sysdatabases where name='school') begin drop database school end go create...

    pgloader中文使用说明

    • 2017年11月17日 09:58
    • 14KB
    • 下载

    Mac 使用SSH远程登录

    一、打开ssh Mac Terminal是自带SSH的,可以用whereis来看看:$ whereis ssh 但是在现有进程中找不到ssh对应的进程:$ ps aux | grep ssh ...

    postman解压使用

    • 2017年11月17日 10:01
    • 53KB
    • 下载
    内容举报
    返回顶部
    收藏助手
    不良信息举报
    您举报文章:Antixss使用
    举报原因:
    原因补充:

    (最多只允许输入30个字)