3
我評估微軟反跨站點腳本庫(AntiXSS V3)微軟反跨站點腳本庫
我必須說,在我看來,除了提供可接受的字符更全面的白名單,它並沒有真正帶來任何派對,任何編碼所有用戶/代理可修改輸出的勤奮程序員都不會做任何事情。
我錯過了一個招數?
A
回答
5
我不認爲你錯過了任何東西,除了知道正確的安全編碼的程序員數量非常少,並且能夠正確執行的程序員數量還很少。
編寫這些庫是爲了讓普通開發人員更容易,並且我會假設任何由Microsoft編寫的用於增強安全性的明確目的的庫都將由編碼器(或編碼器小組)完成這個領域的專家,而不是那些專注於公司需求的日常開發人員。 (我認爲他們會很重視做這件事,考慮微軟產品總是被描繪成被MS-haters描述爲「不安全」)。
作爲一個平行的思考加密。勤奮的編碼員可以想出一個安全的加密算法。然而,OWASP指導方針告訴你不要拿出自己的算法,而是使用由專家開發的經過測試的算法並經過充分測試。
如果我們有一個由專家來完成工作的工具,那麼我們爲什麼會嘗試獨自完成這項工作?如果它能像廣告中那樣工作,那麼我會說只有這樣才能使用Microsoft Anti-Cross站點腳本庫。
+1
關於它的觀點是由經過所有問題思考的專家撰寫的,這很好,可能會讓它值得。另一方面,仍然沒有辦法強迫人們在代碼中實際調用它,如果將它構建到.NET中,它會很好。 – AJM 2009-09-11 08:23:38
相關問題
- 1. XSS - SQL注入 - OWASP VS AntiXss Vs的微軟反跨站點腳本庫
- 2. 跨站點腳本
- 3. 跨站點腳本?
- 4. 跨站點腳本
- 5. XMLHttpRequest跨站點腳本?
- 6. 避免跨站點腳本
- 7. params.merge和跨站點腳本
- 8. 跨站點腳本預防
- 9. 跨站點腳本問題
- 10. 跨站點腳本表單
- 11. htmltextwriter和跨站點腳本
- 12. document.domain和跨站點腳本
- 13. 跨站點腳本幫助?
- 14. 保護跨站點腳本
- 15. ASP.Net中的固定跨站點腳本(反映)MVC
- 16. SharePoint搜索框Web部件中反映的跨站點腳本
- 17. IronPython微軟。腳本異常
- 18. Django跨站點反向URL
- 19. 跨站點腳本 - Cookie加密
- 20. 什麼是跨站點腳本
- 21. 跨站點腳本攻擊XSS
- 22. 消除跨站點腳本的方法
- 23. 全局跨站點腳本操作
- 24. mysql注入和跨站點腳本 - CodeIgniter
- 25. JavaScript中的跨站點腳本編制
- 26. 如何執行跨站點腳本(XSS)
- 27. 從圖像中跨站點腳本
- 28. Fortify跨站點腳本:驗證不佳
- 29. 跨站點腳本 - 這是好嗎?
- 30. 跨站點腳本攻擊,麻煩
「一個更全面的白名單可接受的字符」是不值得的自己? – PhilPursglove 2009-09-10 15:52:16
你在問哪一部分?即插即用的「安全運行時引擎」,增強型編碼API還是兩者兼而有之? – Greg 2009-09-10 16:00:17