Microsoft Anti-XSS库

最新推荐文章于 2021-11-15 12:11:27 发布
最新推荐文章于 2021-11-15 12:11:27 发布
阅读量1.1k 收藏
点赞数
分类专栏: 杂谈

Microsoft提供了一个免费的Anti-XSS库,这个库扩展了内置的编码方法,并为HTML特性、JavaScript、XML等提供附加的输出类型。每个输出类型(或上下文)的编码规则是不同的,由您来为内容选择合适的输出上下文。Anti-XSS库以"白名单"为工作方式,使用超过12种语言来定义一个有效的字符列表(与"黑名单"方法相比,黑名单定义了一个无效的字符、代码和命令列表)。由于Anti-XSS库包含了(已经内置到架构中)最新、更健壮的HtmlEncode和UrlEncode函数的版本,因此应该使用Anti-XSS版本。

注意:可以从http://www.codeplex.com/antixss网站下载Anti-XSS库,如果您不想要检查代码并自己编译它,那么这个名为codeplex的网站还包含二进制下载的链接。

表3-2显示了Anti-XSS库支持的编码方式。

表3-2  Microsoft Anti-XSS库支持的编码方式

   

    

HtmlEncode

当不受信任的输入被指派到HTML

输出时使用该编码方式,除了把该输

入指派到HTML特性情况之外

HtmlAttributeEncode

当不受信任的输入被指派到HTML

特性(例如,id、name、width 或height)

时使用该编码方式

JavaScriptEncode

当在JavaScript中使用不受信任的输入

时使用该编码方式

UrlEncode

当使用不受信任的输入来产生一个UR

L(或者在一个URL内使用)时使用该编码方式

VisualBasicScriptEncode

当在VBScript中使用不受信任的输入时

使用该编码方式

XmlEncode

当不受信任的输入被指派到XML输出,

除非是指派到XML特性时使用该编码方式

XmlAttributeEncode

当不受信任的输入被指派到XML特

性时使用该编码方式

安全的运行时引擎

Anti-XSS库还包括安全运行时引擎(Security Run-time Engine,SRE)和HTTP模块,SRE和HTTP模块通过XSS库自动和主动编码数据来保护您的ASP.NET应用程序,其工作方式是分析Web应用程序和检查每一个ASP.NET Web控件或继承自这些控件派生的控件,通过antixssmodule.config文件指定应用到该控件属性的编码方式来配置模块。

SRE包含一个称为SRE Configuration Generation(SRE配置生成器)的实用工具,如图3-4所示。此实用工具分析Web应用程序和应用程序中使用的控件。由此可见,SRE决定每一个属性的编码方法,并产生一个称为antixssmodule.config的配置文件。由于此生成器分析编译后的Web站点,因此必须使用Visual Studio的Web应用程序项目,而不是使用Visual Studio的Web站点功能。

 
图3-4  SRE的配置生成器工具

通过以下几个步骤来启用SRE:

(1) 使用配置生成器工具分析Web应用程序项目,并生成一个配置文件,该配置文件必须被复制到Web应用程序根目录中。此配置工具检查在编译Web应用程序时产生的程序集。如果您使用的是Visual Studio的Web站点方式,因为没有编译阶段,所以不产生程序集。在这种情况下,可以使用提供的默认配置文件,但只能提供对标准的ASP.NET控件的保护,不能保护任何自定义的控件。

(2) 把SER运行时DLL从Security Runtime Engine\Module文件夹中复制到自己的应用程序的\bin文件夹下。

(3) 通过编辑web.config文件来启用SER运行时。如果您正以经典的ASP.NET模式使用IIS 6或者IIS 7,那么把下面内容添加到system.web节的<httpModules>列表中。如果您使用的是集成管道模式的IIS 7,那么把下面的内容添加到system.webmodules节的<modules>列表中。

 
 
  1. <add name="AntiXssModule" type=  
  2. "Microsoft.Security.Application.SecurityRuntimeEngine.AntiXssModule"/> 
通过配置文件可以把一些页面或者个别的控件从SRE中排除出去,或者在代码中把SupressAntiXssEncoding特性应用到页面或者控件,如下所示: 
 
 
  1. [Microsoft.Security.Application.SecurityRuntimeEngine  
  2. .SupressAntiXssEncoding()]  
  3. public partial class _Default : System.Web.UI.Page  
  4. {  
  5. protected void Page_Load(object sender, EventArgs e)  
  6. {  
  7. ...  
  8. }  
  9. }  
警告:SRE不能保护任何通过Response.Write方法或使用
dakang
关注
专栏目录
Python全栈(五)Web安全攻防之3.sqlmap的使用介绍
CUFEECR的博客
02-27 5125
SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令;Sqlmap的输出信息按从简到繁共分为7个级别依次为0、1、2、3、4、5和6;sqlmap获取目标的方式有直连数据、指定目标URL和读取不同文件类型进行SQL注入3种方式。sqlmap设置请求参数的类型包括HTTP方法、设置post提交参数、设置cookie参数、设置user-agent、设置代理、设置延迟、设置超时、设置超时重试次数、设置随机参数、设置忽略401和避免被屏蔽等。
使用antixss防御xss
收集盒 Book box
08-02 849
本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
antixss使用
yanzhibo的专栏IlgawME)Y*Ml
11-26 6538
AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义。 AntiXSS最新版的下载地址:http://wpl.codeplex.com 下载安装之后,安装目录下有以下文件: AntiXSS.chm:      包括类的操作手册参数说明。 AntiXSSLibrary.dll:      包含Antixss,Encoder类(输出转义
AntiXSS - 支持Html同时防止XSS攻击
weixin_33873846的博客
06-24 251
跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准...
MVC Anti-XSS方案
mituan1234567的专栏
06-11 511
http://blog.csdn.net/cassaba/article/details/21094011 XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。     开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在
ASP.NET AntiXSS的使用
weixin_33737774的博客
12-31 583
下载类:http://wpl.codeplex.com 添加程序集引用 在web.config文件中将AntiXSS注册为应用程序的编码器 在<system.web>节点添加:<httpRuntime encoderType="Microsoft.Security.Application.AntiXSSEncoder,AntiXssLib...
Anti-XSS
weixin_34311757的博客
10-05 155
msi安装程序,安装之后,安装目录下有以下文件AntiXSS.chm 包括类的操作手册参数说明HtmlSanitizationLibrary.dll 包含Sanitizer类(输入白名单)AntiXSSLibrary.dll 包含Antixss,Encoder类(输出转义)使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary...
java+设置全局响应头_[网络/Java EE/Web]Tomcat/Nginx中配置全局的安全响应头(header)——X-Frame-Options / X-XSS-Protection / X...
weixin_28871821的博客
02-27 1830
Step1 配置Tomcatstep1.1 查看是否已配置目标的HTTP网络安全头方式1 – Tomcat / conf/web.xmlcat /opt/myTomcat/conf/web.xml | grep --color=auto -C 10 -i "httpHeaderSecurity"方式2 查看Tomcat的任一Web HTTP网页/请求step1.2 确认Tomcat服务器中(ca...
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击,34岁Java程序员裸辞
m0_64205564的博客
11-15 669
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式, 一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面; 二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; X-Frame-Options响应头 ========================================================================================= X-Fra
有关ASP.NET中跨站点脚本(XSS)预防的绝对入门教程
04-11
3. **使用Anti-XSS**:微软提供了Anti-XSSMicrosoft.Security.Application),其中包含了丰富的编码方法,能有效防止各种XSS攻击。 4. **启用ASP.NET的内置防护**:ASP.NET 2.0及以上版本默认启用了请求验证...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _SESSION,$ _ GET,$ _ POST,$ _ SERVER) 如果需要更可配置的解决方案,请使用或 添加“内容安全策略”-> 内容安全策略简介 不要写自己的正则表达式来解析HTML! 阅读此文本-> XSS(跨站点脚本)预防备忘单 测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装 composer require voku/anti-xss 用法:
AntiXss攻击防止的C#代码文件
04-01
AntiXss攻击防止的C#代码文件,AntiXss攻击防止的C#代码文件
Anti-XSS Library v3.1 Released
cnbird's blog
09-21 694
The Microsoft Information Security Tools (IST) team has released the latest Microsoft Anti-Cross Site Scripting (Anti-XSS) Library version 3.1.  Read more about Anti-XSS v3.1 on the Information Securi
AntiXSS防止跨站脚本攻击
博妍工作室
04-06 977
AntiXSS,由微软推出的用于防止XSS攻击的一个类。它的实现原理也是使用白名单机制。 接下来的表格将帮助你决定使用哪个编码函数: 编码函数 应该使用的场景 示例/模式 HtmlEncode 不可信的输入被用作html输出,被分配给一个html属性除外 Click Here [Untrusted input
ASP.NET AntiXSS的作用
weixin_33842304的博客
12-31 283
XSS跨站脚本攻击 是指用户输入HTML编码对网站进行跨站攻击。 通过使用FCKeditor、FreeTextBox、Rich TextBox、Cute Editor、TinyMCE等等Html编辑器,用户可以输入一些危险字符,注入到网站中,形式XSS。 (一般的解决办法是使用BBCode的方法,但它的表现力不是很友好,而且并不是...
AntiXSS在页面使用例子
梦想起飞的地方.........
03-12 2394
AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 aspx?id=5242">http://www.microsoft.com/download/en/details.aspx?id=5242   msi安装程序,安装之后,安装目录下有以下文件 AntiXSS.chm   包括类
深入分析anti-xss-master.zip防范技术
- "anti-xss-master"文件可能与防止跨站脚本攻击(XSS)的技术相关,XSS是一种常见的网络安全威胁,攻击者通过注入恶意脚本到受信任的网站来窃取信息。 - 防止XSS攻击通常涉及对用户输入的严格验证,对输出内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值