La biblioteca Microsoft AntiXSS ha sido broken durante 6 meses y parece abandonada (que oficialmente puede o no ser el caso). Debido a un problema de seguridad con versiones anteriores, no es seguro deshacerse de una versión anterior. ¿Existen buenas alternativas desarrolladas activamente para AntiXSS y seguridad web en general cuando se trabaja con la pila de Microsoft (específicamente MVC)?Microsoft AntiXSS Alternativa
Respuesta
Hay un nuevo desinfectante XSS envío con el lanzamiento en junio 2012 de la caja de herramientas del control de ajax. El kit de herramientas originalmente estaba usando la biblioteca microsoft anti xss, así que experimentaron los mismos problemas. El nuevo desinfectante está basada en el HtmlAgilityPack
¿Has echado un vistazo al Proyecto de seguridad de aplicaciones web abiertas (OWASP)? Troy caza tiene un buen post sobre ello en su blog, echa un vistazo aquí:
http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
Tenga en cuenta que no he trabajado con él, así que yo no estoy seguro de carnero que es lo que su mirada porque, solo pensé en compartirlo.
Tengo el mismo problema y he estado buscando una solución alta y baja, pero no he encontrado nada más.
Básicamente, creo que la única opción para seguir adelante es usar un poco de WMD (como lo hacen aquí en Stackoverflow) ... enviarlo de vuelta al servidor como marcado WMD y luego guardarlo en la base de datos como HTML y luego conviértalo html al escupirlo en la página del servidor.
Este podría ser un buen comienzo: http://code.google.com/p/pagedown/
- 1. compilador Intel C++ como alternativa a Microsoft?
- 2. TinyMCE, AntiXSS, MVC3 y GetSafeHtmlFragment
- 3. ¿Una alternativa favorable al panel de actualización de Microsoft AJAX?
- 4. Microsoft alternativa a S # arp Arquitectura y tecnologías subyacentes
- 5. Microsoft Project
- 6. ¿Hay alguna alternativa a los íconos de Microsoft Office que pueda usar en mi aplicación?
- 7. ¿Hay alguna alternativa al uso de Apache POI Java para Microsoft Office?
- 8. Pentaho vs Microsoft BI Stack
- 9. Microsoft y SAP
- 10. Microsoft Semblio
- 11. ¿Microsoft Access tiene búsqueda de texto completo?
- 12. WSO2 Alternativa
- 13. STL Alternativa
- 14. parseInt alternativa
- 15. @XmlSeeAlso alternativa
- 16. CGRectMake alternativa
- 17. Mongoose alternativa?
- 18. gmaven alternativa?
- 19. ¿Hay alguna alternativa a OData?
- 20. ¿Alternativa a SvcUtil.exe?
- 21. Alternativa de código abierto para "Intellitrace"
- 22. Microsoft Roslyn vs CodeDom
- 23. Programación con Microsoft Kinect
- 24. Microsoft C++ Language Reference
- 25. Microsoft Entity Framework
- 26. Scope_Identity() en Microsoft Access
- 27. Nhibernate con Microsoft System.Data.OracleClient
- 28. Microsoft/Ford Sync SDK
- 29. Microsoft Detours - DetourUpdateThread?
- 30. ¿Qué es Microsoft Unity?
¿Por qué es la vista Razor protección XSS motor no es suficiente? –
@LeonCullens no es suficiente para los casos en que los usuarios pueden cargar contenido html, como cuando se usa tinymce u otro editor de texto enriquecido. –
Ah bien. Me temo que no puedo evitarlo :-) –