代码之家  ›  专栏  ›  技术社区  ›  AJM

Microsoft反跨站点脚本库

xss asp.net
  •  3
  • AJM  · 技术社区  · 15 年前

    我正在评估Microsoft反跨站点脚本库(AntiXSS v3)

    我不得不说,在我看来,除了提供一个更全面的可接受字符白名单之外,它并没有真正给聚会带来任何东西,一个勤奋的程序员谁编码了他的所有用户/代理可修改的输出无论如何都不会做。

    我错过了一个技巧吗?

    1 回复  |  直到 15 年前
        1
  •  5
  •   David    15 年前

    我不认为你遗漏了任何东西,除了这样一个事实:知道正确安全编码的程序员数量非常少,而且那些能够正确地进行编码的程序员仍然更少。

    这些库的编写是为了让普通的开发人员能够更轻松地完成工作,我假设微软为增强安全性而编写的任何库都是由该领域的专家编码人员(或编码人员团队)来完成的,而不是您的日常开发人员,他们专注于公司的需求。是的。 (考虑到微软产品总是被Haters女士描绘成“不安全”,我认为他们会非常重视做正确的事情。)

    作为一种并行方式,考虑加密。一个勤奋的编码人员可以想出一个安全的加密算法。然而,OWASP指南告诉您不要想出自己的算法,而是使用由专家开发并经过良好测试的经过测试的算法。

    如果我们有一个由专家来完成这项工作的工具,为什么我们要自己去做呢?我想说,如果微软的反跨站点脚本库能像广告上所说的那样工作的话,仅仅因为这个原因就可以使用它。

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号