La biblioteca Microsoft AntiXSS ha sido broken durante 6 meses y parece abandonada (que oficialmente puede o no ser el caso). Debido a un problema de seguridad con versiones anteriores, no es seguro deshacerse de una versión anterior. ¿Existen buenas alternativas desarrolladas activamente para AntiXSS y seguridad web en general cuando se trabaja con la pila de Microsoft (específicamente MVC)?Microsoft AntiXSS Alternativa
Hay un nuevo desinfectante XSS envío con el lanzamiento en junio 2012 de la caja de herramientas del control de ajax. El kit de herramientas originalmente estaba usando la biblioteca microsoft anti xss, así que experimentaron los mismos problemas. El nuevo desinfectante está basada en el HtmlAgilityPack
¿Has echado un vistazo al Proyecto de seguridad de aplicaciones web abiertas (OWASP)? Troy caza tiene un buen post sobre ello en su blog, echa un vistazo aquí:
http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
Tenga en cuenta que no he trabajado con él, así que yo no estoy seguro de carnero que es lo que su mirada porque, solo pensé en compartirlo.
Tengo el mismo problema y he estado buscando una solución alta y baja, pero no he encontrado nada más.
Básicamente, creo que la única opción para seguir adelante es usar un poco de WMD (como lo hacen aquí en Stackoverflow) ... enviarlo de vuelta al servidor como marcado WMD y luego guardarlo en la base de datos como HTML y luego conviértalo html al escupirlo en la página del servidor.
Este podría ser un buen comienzo: http://code.google.com/p/pagedown/
¿Por qué es la vista Razor protección XSS motor no es suficiente? –
@LeonCullens no es suficiente para los casos en que los usuarios pueden cargar contenido html, como cuando se usa tinymce u otro editor de texto enriquecido. –
Ah bien. Me temo que no puedo evitarlo :-) –