Microsoft 防跨站点脚本库AntiXSS Library v4.2.1

最新推荐文章于 2017-12-12 14:09:00 发布
最新推荐文章于 2017-12-12 14:09:00 发布
阅读量232 收藏
点赞数

AntiXSS 库目前处于版本 4.2.1,下载地址:http://www.microsoft.com/download/en/details.aspx?id=28589。它经历了一次非常棒的重新编写过程,并且就安全性而言,它提供了比 ASP.NET 附带的编码器更好的 HTML 编码器。 并不是说 Server.HtmlEncode 有什么问题,只是它侧重于兼容性而不是安全性。 AntiXSS 使用不同的方法进行编码。 有关详细信息,请访问 msdn.microsoft.com/security/aa973814。Jon Galloway 在 http://weblogs.asp.net/jgalloway/archive/2011/04/28/using-antixss-4-1-beta-as-the-default-encoder-in-asp-net.aspx 中发布了有关此内容的精彩文章。

This release addresses a vulnerability in the HTML Sanitizer, MS12-007 http://technet.microsoft.com/en-us/security/bulletin/ms12-007 and adds full support for .NET 4.0 as well as restoring support for .NET 2.0.
The sanitizer has been changed to remove all CSS it encounters, this new behaviour means that if you were keeping CSS formatting from HTML that is no longer going to be the case.
In addition to the change necessary to correct the vulnerability there are a few new features;

  • Minimum Requirements.
You can now, once again, use the encoder libraries with .NET 2.0. The installer will create directories for each framework version supported, .NET 2.0, .NET 3.5 and .NET 4.0 which contain an optimized version of the encoders for that platform.
  • Invalid Unicode no longer throws an exception.
Invalid Unicode characters are now replaced with the Unicode replacement character, U+FFFD (�). Previously, when encoding strings through HtmlEncode, HtmlAttributeEncode, XmlEncode, XmlAttributeEncode or CssEncode invalid Unicode characters would be detected and an exception thrown.
  • UrlPathEncode added.
The encoding library now has UrlPathEncode which will encode a string for use as the path part of a URL.
  • .NET 4.0 encoder support.
There’s finally an official way to swap AntiXSS into the framework. If you are using .NET 4.0 ensure you are using the .NET 4.0 version of the encoding library and then edit your web.config and add the encoderType attribute to the httpRuntime element; i.e.

<httpRuntime encoderType="Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>

 

保护您的 ASP.NET 应用程序

SRE with Antixss Module

weixin_34214500
关注
最新AntiXSS_V4.2.1.dll
04-01
最新版AntiXSS V4.2.1 里面有帮助文档 是英文版的 楼主官方下载的 没找中文的 不过这东西我估计也不需要怎么看中文的
AntiXss 4.2.1.msi
12-22
跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。 但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准格式。 为了让用户的输入更具表现力,涌现了大量的Html编辑器控件,著名的有FCKEditor,FreeTextBox,Rich TextBox,Cute Editor,TinyMCE等等。比如,博客园的后台发随笔就支持Cute Editor和TinyMCE,我个人比较喜欢Cute Editor,功能强大,性能不错,而且容易定制。 使用这些Html编辑器控件的潜在危险,是用户可能会输入一些危险字符,注入到网站中,形成XSS攻击。一个最简单的输入就是: alert('xss') 如何防止呢?大致思路有三种: 1. 正则表达式的白名单过滤机制。 2. 正则表达式的黑名单替换机制。 3. 通过DOM对象过滤白名单和黑名单的标签。 其实我用的很简单,就是AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。比如: var html = "aaaaaaaaajavascriptalert('a')Test"; string safeHtml = AntiXss.GetSafeHtmlFragment(html); Console.WriteLine(safeHtml); 上面的危险内容被成功替换,返回的内容是: aaaaaaaaajavascript alert('a') Test 嗯,非常安全。然后,又有一个疑问了,是应该将用户的输入过滤之后写入数据呢?还是在输出界面显示的时候进行过滤?其实,通常来讲,在输出界面显示的时候进行过滤就够了,将用户输入过滤后写入数据不是很必要,因为即使这样也无法保证数据中没有危险的数据。当然,上个双保险也没有什么不好的。
AntiXssLibrary.dll
07-06
AntiXssLibrary.dll
AntiXSS Library v3.0
weixin_34356310的博客
07-16 124
namespace Microsoft.Security.Application { #region Namespaces using System; using System.Drawing; using System.Web; using System.Text; #endregion #region Namesp...
AntiXssLibrary_HtmlSanitizationLibrary.zip
12-05
C# 防止跨站点脚本攻击 常用的两个dll AntiXssLibrary.dll,HtmlSanitizationLibrary.dll
AntiXSS - 支持Html同时防止XSS攻击 Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso B...
weixin_34117211的博客
06-18 299
Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso Bookmark Page Kevin LamMicrosoft Application Consulting & Engineering (ACE) November 2006 Summary:This tutorial shows y...
利用微软AntiXss Library过滤输出字符,防止XSS攻击
weixin_33973600的博客
12-12 413
假如项目在前期没有过滤客户提交的字符,那么可以在输出的时候,对输出的字符进行过滤,防止出现XSS跨域攻击。 原理简单:利用ASP.NET API的管道原理,在MessageHandlers中添加一个自定义的处理环节。 好了,源代码如下: public class MessageFilterOutputHandler : MessageHandler { protected...
MVC5中的跨站点脚本攻击防御
理解跨站点脚本攻击 ## 1.1 什么是跨站点脚本攻击? 跨站点脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本代码来攻击用户,获取敏感信息或者控制用户浏览器。XSS攻击...
ASP.NET中的跨站点脚本XSS)攻击防范
站点脚本XSS)攻击是一种常见的web安全漏洞,攻击者通过在受害者的浏览器中执行恶意脚本来窃取用户信息、篡改网页内容或者进行其他恶意行为。XSS攻击通常利用了网页未经过滤的用户输入,将恶意脚本注入到网页中...
AntiXss攻击防止的C#代码文件
04-01
3. **使用安全的**:MicrosoftAntiXss是一个强大的工具,它提供了更细致的编码策略,比如上下文感知编码,能够根据数据的预期用途选择最合适的编码方式,减少误报和漏报的可能性。 4. **HTTP头部设置**:通过...
antixsslibrary.zip
09-08
antixsslibrary1.2-4.2版本
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
AntiXss简介
GhostHouse
05-09 2636
AntiXss是一款预防注入攻击的开源类,它通过白名单机制进行内容编码。目前它支持这些输入类型:XML,HTML,QueryString,HTMLFormURLEncode,Ldap,JavaScript。在日常的开发中我们并不会安全编码像Ldap或JavaScript这样的输入类型,大多都是对XML,QueryString或Form URL进行安全编码。下面是个安全编码XML文件的小例子:
Anti-XSS Library v3.1 Released
cnbird's blog
09-21 694
The Microsoft Information Security Tools (IST) team has released the latest Microsoft Anti-Cross Site Scripting (Anti-XSS) Library version 3.1.  Read more about Anti-XSS v3.1 on the Information Securi
[转载]推荐一个被大家忽视的微软的反跨站脚本Anti-XSS V3.1
weixin_33860553的博客
12-09 73
每个项目都在无休无止的用到跨站脚本过滤,大家都是自己写,于是各种各样的正则表达式层出不尽。     推荐的这个微软的反跨站脚本,个人感觉是非常棒的,也不再需要为自己的代码是否过滤完全而绞尽脑汁了。     文件名:Microsoft Anti-Cross Site Scripting Library V3.1     下载地址:http://www.microsoft.com/downl...
Anti-XSS
weixin_34311757的博客
10-05 155
msi安装程序,安装之后,安装目录下有以下文件AntiXSS.chm 包括类的操作手册参数说明HtmlSanitizationLibrary.dll 包含Sanitizer类(输入白名单)AntiXSSLibrary.dll 包含Antixss,Encoder类(输出转义)使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary...
使用antixss防御xss
收集盒 Book box
08-02 849
本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
微软反跨站脚本3.0 RTM
shanyou的专栏
07-16 809
跨站脚本Cross-Site Scripting(XSS)又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。跨站脚本Cross-Site Scripting
Microsoft Anti-Cross Site Scripting Library (跨站脚本攻击防御)
真有意思
05-05 250
Cross-Site Scripting是一种较为普遍的HACK攻击方式,曾经遭受Cross-Site Scripting攻击的知名网站众多.现今Ajax技术大兴,应用日趋广泛,Client 端Script 扮演的角色越来越重要,也就不可避免的提升了 Cross-Site Scripting 攻击方式的几率。 Microsoft Anti-Cross Site Scripting Library...
Web应用防御XSS攻击:原理、危害与防护策略
跨站脚本攻击(XSS)是Web应用安全领域中的一个关键话题,它是最常见的Web漏洞之一。XSS的全称是Cross-Site Scripting,是指恶意攻击者通过在Web页面中注入恶意的HTML、JavaScript或CSS代码,当用户浏览这些页面时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值