Actualmente estoy tratando de proteger mi clásica aplicación ASP de XSS. Me encontré con el AntiXSS de Microsoft en la red y me preguntaba si esto funcionaría con una aplicación clásica.Anti XSS y Classic ASP
Si no, ¿tiene alguna idea de cómo puedo desinfectar las cuerdas?
@Steoates: Esto, aquí, es generalmente una solución bastante decente. –
Y si tiene que mostrar texto enriquecido (sistema heredado, suspiro), escribir una función de limpieza para usar múltiples expresiones regulares es, al menos, un paso en la dirección correcta. –
Según OWASP, simplemente HTMLEncoding no es suficiente. Ver: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#Why_Can.27t_I_Just_HTML_Entity_Encode_Untrusted_Data.3F – blischalk