Microsoft Anti-XSS库

最新推荐文章于 2021-09-23 19:19:38 发布
最新推荐文章于 2021-09-23 19:19:38 发布
阅读量1k 收藏
点赞数
分类专栏: 杂谈

Microsoft提供了一个免费的Anti-XSS库,这个库扩展了内置的编码方法,并为HTML特性、JavaScript、XML等提供附加的输出类型。每个输出类型(或上下文)的编码规则是不同的,由您来为内容选择合适的输出上下文。Anti-XSS库以"白名单"为工作方式,使用超过12种语言来定义一个有效的字符列表(与"黑名单"方法相比,黑名单定义了一个无效的字符、代码和命令列表)。由于Anti-XSS库包含了(已经内置到架构中)最新、更健壮的HtmlEncode和UrlEncode函数的版本,因此应该使用Anti-XSS版本。

注意:可以从http://www.codeplex.com/antixss网站下载Anti-XSS库,如果您不想要检查代码并自己编译它,那么这个名为codeplex的网站还包含二进制下载的链接。

表3-2显示了Anti-XSS库支持的编码方式。

表3-2  Microsoft Anti-XSS库支持的编码方式

   

    

HtmlEncode

当不受信任的输入被指派到HTML

输出时使用该编码方式,除了把该输

入指派到HTML特性情况之外

HtmlAttributeEncode

当不受信任的输入被指派到HTML

特性(例如,id、name、width 或height)

时使用该编码方式

JavaScriptEncode

当在JavaScript中使用不受信任的输入

时使用该编码方式

UrlEncode

当使用不受信任的输入来产生一个UR

L(或者在一个URL内使用)时使用该编码方式

VisualBasicScriptEncode

当在VBScript中使用不受信任的输入时

使用该编码方式

XmlEncode

当不受信任的输入被指派到XML输出,

除非是指派到XML特性时使用该编码方式

XmlAttributeEncode

当不受信任的输入被指派到XML特

性时使用该编码方式

安全的运行时引擎

Anti-XSS库还包括安全运行时引擎(Security Run-time Engine,SRE)和HTTP模块,SRE和HTTP模块通过XSS库自动和主动编码数据来保护您的ASP.NET应用程序,其工作方式是分析Web应用程序和检查每一个ASP.NET Web控件或继承自这些控件派生的控件,通过antixssmodule.config文件指定应用到该控件属性的编码方式来配置模块。

SRE包含一个称为SRE Configuration Generation(SRE配置生成器)的实用工具,如图3-4所示。此实用工具分析Web应用程序和应用程序中使用的控件。由此可见,SRE决定每一个属性的编码方法,并产生一个称为antixssmodule.config的配置文件。由于此生成器分析编译后的Web站点,因此必须使用Visual Studio的Web应用程序项目,而不是使用Visual Studio的Web站点功能。

 
图3-4  SRE的配置生成器工具

通过以下几个步骤来启用SRE:

(1) 使用配置生成器工具分析Web应用程序项目,并生成一个配置文件,该配置文件必须被复制到Web应用程序根目录中。此配置工具检查在编译Web应用程序时产生的程序集。如果您使用的是Visual Studio的Web站点方式,因为没有编译阶段,所以不产生程序集。在这种情况下,可以使用提供的默认配置文件,但只能提供对标准的ASP.NET控件的保护,不能保护任何自定义的控件。

(2) 把SER运行时DLL从Security Runtime Engine\Module文件夹中复制到自己的应用程序的\bin文件夹下。

(3) 通过编辑web.config文件来启用SER运行时。如果您正以经典的ASP.NET模式使用IIS 6或者IIS 7,那么把下面内容添加到system.web节的<httpModules>列表中。如果您使用的是集成管道模式的IIS 7,那么把下面的内容添加到system.webmodules节的<modules>列表中。

 
 
  1. <add name="AntiXssModule" type=  
  2. "Microsoft.Security.Application.SecurityRuntimeEngine.AntiXssModule"/> 
通过配置文件可以把一些页面或者个别的控件从SRE中排除出去,或者在代码中把SupressAntiXssEncoding特性应用到页面或者控件,如下所示: 
 
 
  1. [Microsoft.Security.Application.SecurityRuntimeEngine  
  2. .SupressAntiXssEncoding()]  
  3. public partial class _Default : System.Web.UI.Page  
  4. {  
  5. protected void Page_Load(object sender, EventArgs e)  
  6. {  
  7. ...  
  8. }  
  9. }  
警告:SRE不能保护任何通过Response.Write方法或使用
dakang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
antixss使用
yanzhibo的专栏IlgawME)Y*Ml
11-26 6510
AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义。 AntiXSS最新版的下载地址:http://wpl.codeplex.com 下载安装之后,安装目录下有以下文件: AntiXSS.chm:      包括类的操作手册参数说明。 AntiXSSLibrary.dll:      包含Antixss,Encoder类(输出转义
AntiXSS-28744
05-27
标题中的"AntiXSS-28744"指的是微软的 Anti-Cross Site Scripting (Anti-XSS) 的一个特定版本或补丁,编号为28744。这个是一个工具集,用于帮助开发者预防跨站脚本攻击(Cross-Site Scripting,简称XSS),这是...
AntiXSS - 支持Html同时防止XSS攻击
weixin_33873846的博客
06-24 227
跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准...
ASP.NET AntiXSS的使用
weixin_33737774的博客
12-31 548
下载类:http://wpl.codeplex.com 添加程序集引用 在web.config文件中将AntiXSS注册为应用程序的编码器 在<system.web>节点添加:<httpRuntime encoderType="Microsoft.Security.Application.AntiXSSEncoder,AntiXssLib...
Anti-XSS Library v3.1 Released
cnbird's blog
09-21 677
The Microsoft Information Security Tools (IST) team has released the latest Microsoft Anti-Cross Site Scripting (Anti-XSS) Library version 3.1.  Read more about Anti-XSS v3.1 on the Information Securi
使用antixss防御xss
收集盒 Book box
08-02 781
本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
有关ASP.NET中跨站点脚本(XSS)预防的绝对入门教程
04-11
3. **使用Anti-XSS**:微软提供了Anti-XSSMicrosoft.Security.Application),其中包含了丰富的编码方法,能有效防止各种XSS攻击。 4. **启用ASP.NET的内置防护**:ASP.NET 2.0及以上版本默认启用了请求验证...
TSL-AntiName:扩展名,可防止用户名中的非ASCII字符
03-16
TypeScript是一种由Microsoft开发的强类型、静态类型的编程语言,它是JavaScript的一个超集,增加了许多特性,如接口、类、泛型等,旨在提高开发效率和代码质量。通过使用TypeScript,开发者可以编写更健壮、易于...
aspnet防注入
01-20
3. 使用Anti-XSS:微软提供了Anti-XSS Library,提供了一套全面的编码和解码方法,用于安全地处理HTML内容。 三、CSRF(跨站请求伪造) CSRF攻击利用了用户已登录的身份,发起对网站的恶意请求。防止CSRF的方法...
ASP.NET源码——小巧通用的在线网络资源管理器.zip
10-10
ASP.NET提供了内置的安全特性,如验证控件、反跨站脚本Anti-XSS)等。 9. **性能优化**:对于高并发的文件操作,源码可能包含缓存策略、异步处理或负载均衡等优化措施。 10. **部署与配置**:ASP.NET应用的...
AntiXSS在页面使用例子
梦想起飞的地方.........
03-12 2367
AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 aspx?id=5242">http://www.microsoft.com/download/en/details.aspx?id=5242   msi安装程序,安装之后,安装目录下有以下文件 AntiXSS.chm   包括类
使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击,后解码
LookingTomorrow的博客
12-05 1015
使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击中文会被转码, 可使用Sanitizer.GetSafeHtmlFragment(string inpu)方法来进行解码。 转码: 解码: 需要以用两个的dll:https://download.csdn.net/download/LookingTomorrow/12015056 参考: https://stack...
网站开发中Microsoft.Security.Application的使用
05-31 2796
网站开发中程序员要特别处理安全事件,网站安全过滤程序是每个程序员的基本知识,如果你给客户做的网站有漏洞不安全会导致客户资料泄露,重者会造成经济损失。网站漏洞介绍之:xxs脚本跨站漏洞关于微软安全组件Microsoft.Security.Application的使用。搜遍百度也没有找到简单易用的中文说明文档。今天肥城网站建设公司肥城龙山网络管理员,给做网站的程序员们介绍下这个英文组件如何使用。首先是
asp.net 安全
weixin_30526593的博客
03-17 63
1、输入安全安全隐患:xss方案: 使用微软提供的antixss使用方法:1. Use the Confi guration Generation tool to analyze your Web application project and generatea confi guration fi le, which must be copied to your Web a...
Microsoft 防跨站点脚本AntiXSS Library v4.2.1
weixin_34214500的博客
02-26 204
AntiXSS 目前处于版本 4.2.1,下载地址:http://www.microsoft.com/download/en/details.aspx?id=28589。它经历了一次非常棒的重新编写过程,并且就安全性而言,它提供了比 ASP.NET 附带的编码器更好的 HTML 编码器。 并不是说 Server.HtmlEncode 有什么问题,只是它侧重于兼容性而不是安全性。 AntiXSS ...
AntiXSS防止跨站脚本攻击
博妍工作室
04-06 945
AntiXSS,由微软推出的用于防止XSS攻击的一个类。它的实现原理也是使用白名单机制。 接下来的表格将帮助你决定使用哪个编码函数: 编码函数 应该使用的场景 示例/模式 HtmlEncode 不可信的输入被用作html输出,被分配给一个html属性除外 Click Here [Untrusted input
网络安全必学知识点之XSS漏洞
kali_Ma的博客
09-23 2481
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
云服务器上搭建beef-xss
最新发布
03-11
在云服务器上搭建beef-xss(Browser Exploitation Framework)可以用于进行Web浏览器漏洞利用和XSS攻击的测试和研究。下面是一些步骤来搭建beef-xss: 1. 选择云服务器:首先,你需要选择一个云服务器提供商,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值