Microsoft 防跨站点脚本库AntiXSS Library

最新推荐文章于 2017-12-12 14:09:00 发布
转载 最新推荐文章于 2017-12-12 14:09:00 发布 · 194 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/tianciliangen/p/8027476.html

AntiXSS库更新至4.2.1版本,提供增强的安全性及改进特性,如修复HTML Sanitizer漏洞、支持.NET 4.0及恢复.NET 2.0支持等。此版本引入了更严格的CSS处理方式,无效Unicode字符会被替换而非抛出异常,并新增了用于URL路径编码的功能。

AntiXSS 库目前处于版本 4.2.1,下载地址:http://www.microsoft.com/download/en/details.aspx?id=28589。它经历了一次非常棒的重新编写过程,并且就安全性而言,它提供了比 ASP.NET 附带的编码器更好的 HTML 编码器。 并不是说 Server.HtmlEncode 有什么问题,只是它侧重于兼容性而不是安全性。 AntiXSS 使用不同的方法进行编码。 有关详细信息,请访问 msdn.microsoft.com/security/aa973814。Jon Galloway 在 http://weblogs.asp.net/jgalloway/archive/2011/04/28/using-antixss-4-1-beta-as-the-default-encoder-in-asp-net.aspx 中发布了有关此内容的精彩文章。

This release addresses a vulnerability in the HTML Sanitizer, MS12-007 http://technet.microsoft.com/en-us/security/bulletin/ms12-007 and adds full support for .NET 4.0 as well as restoring support for .NET 2.0. 
The sanitizer has been changed to remove all CSS it encounters, this new behaviour means that if you were keeping CSS formatting from HTML that is no longer going to be the case. 
In addition to the change necessary to correct the vulnerability there are a few new features;

  • Minimum Requirements.
You can now, once again, use the encoder libraries with .NET 2.0. The installer will create directories for each framework version supported, .NET 2.0, .NET 3.5 and .NET 4.0 which contain an optimized version of the encoders for that platform.
  • Invalid Unicode no longer throws an exception.
Invalid Unicode characters are now replaced with the Unicode replacement character, U+FFFD (�). Previously, when encoding strings through HtmlEncode, HtmlAttributeEncode, XmlEncode, XmlAttributeEncode or CssEncode invalid Unicode characters would be detected and an exception thrown.
  • UrlPathEncode added.
The encoding library now has UrlPathEncode which will encode a string for use as the path part of a URL.
  • .NET 4.0 encoder support.
There’s finally an official way to swap AntiXSS into the framework. If you are using .NET 4.0 ensure you are using the .NET 4.0 version of the encoding library and then edit your web.config and add the encoderType attribute to the httpRuntime element; i.e.

<httpRuntime encoderType="Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>

 

保护您的 ASP.NET 应用程序

SRE with Antixss Module

转载于:https://www.cnblogs.com/tianciliangen/p/8027476.html

渗透测试工具:跨站脚本漏洞检测---Xsser
gao646467783的博客
01-27 4217
文章目录简介:用法:(一)、Options:(二)、特别的用法:(三)、选择目标:(四)、 现测HTTP/HTTPS的连接类型:(五)、 配置请求:(六)、 系统验校器:(七)、 选择攻击向量(s):(八)、选择Bypasser(s):(九)、 特殊的技巧:(十)、 Select Final injection(s):(十一)、 Special Final injection(s):(十二)、 混杂模式:(十三)、 Reporting:(十四)、Miscellaneous: 简介: 跨站脚本者是一个自动框架
antixsslibrary.zip
09-08
antixsslibrary1.2-4.2版本
AntiXssLibrary.dll
07-06
AntiXssLibrary.dll
Microsoft 跨站脚本库AntiXSS Library v4.2.1
weixin_34214500的博客
02-26 255
AntiXSS 库目前处于版本 4.2.1,下载地址:http://www.microsoft.com/download/en/details.aspx?id=28589。它经历了一次非常棒的重新编写过程,并且就安全性而言,它提供了比 ASP.NET 附带的编码器更好的 HTML 编码器。 并不是说 Server.HtmlEncode 有什么问题,只是它侧重于兼容性而不是安全性。 AntiXSS ...
AntiXSS Library v3.0
weixin_34356310的博客
07-16 149
namespace Microsoft.Security.Application { #region Namespaces using System; using System.Drawing; using System.Web; using System.Text; #endregion #region Namesp...
AntiXssLibrary_HtmlSanitizationLibrary.zip
12-05
C# 跨站脚本攻击 常用的两个dll AntiXssLibrary.dll,HtmlSanitizationLibrary.dll
AntiXSS - 支持Html同时止XSS攻击 Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso B...
weixin_34117211的博客
06-18 330
Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso Bookmark Page Kevin LamMicrosoft Application Consulting & Engineering (ACE) November 2006 Summary:This tutorial shows y...
MVC5中的跨站脚本攻击
理解跨站脚本攻击 ## 1.1 什么是跨站脚本攻击? 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本代码来攻击用户,获取敏感信息或者控制用户浏览器。XSS攻击...
ASP.NET中的跨站脚本(XSS)攻击
跨站脚本(XSS)攻击是一种常见的web安全漏洞,攻击者通过在受害者的浏览器中执行恶意脚本来窃取用户信息、篡改网页内容或者进行其他恶意行为。XSS攻击通常利用了网页未经过滤的用户输入,将恶意脚本注入到网页中...
AntiXss攻击止的C#代码文件
04-01
3. **使用安全的库**:MicrosoftAntiXss库是一个强大的工具,它提供了更细致的编码策略,比如上下文感知编码,能够根据数据的预期用途选择最合适的编码方式,减少误报和漏报的可能性。 4. **HTTP头部设置**:通过...
如何在Web应用中有效御反射型跨站脚本攻击?请结合具体的御策略。
最新发布
11-04
使用安全的编程框架:选择支持自动XSS护功能的Web开发框架,例如OWASP的ESAPI、***的AntiXSS库等,这些框架提供了自动化的输入过滤和输出编码功能。 5. 日志和监控:对用户的击行为进行监控,并记录详细的...
Java止xss攻击jar包
03-29
Java止xss攻击依赖jar包
最新AntiXSS_V4.2.1.dll
04-01
最新版AntiXSS V4.2.1 里面有帮助文档 是英文版的 楼主官方下载的 没找中文的 不过这东西我估计也不需要怎么看中文的
利用微软AntiXss Library过滤输出字符,止XSS攻击
weixin_33973600的博客
12-12 441
假如项目在前期没有过滤客户提交的字符,那么可以在输出的时候,对输出的字符进行过滤,止出现XSS跨域攻击。 原理简单:利用ASP.NET API的管道原理,在MessageHandlers中添加一个自定义的处理环节。 好了,源代码如下: public class MessageFilterOutputHandler : MessageHandler { protected...
AntiXss 类库简介
GhostHouse
05-09 2659
AntiXss类库是一款预注入攻击的开源类库,它通过白名单机制进行内容编码。目前它支持这些输入类型:XML,HTML,QueryString,HTMLFormURLEncode,Ldap,JavaScript。在日常的开发中我们并不会安全编码像Ldap或JavaScript这样的输入类型,大多都是对XML,QueryString或Form URL进行安全编码。下面是个安全编码XML文件的小例子:
Anti-XSS Library v3.1 Released
cnbird's blog
09-21 722
The Microsoft Information Security Tools (IST) team has released the latest Microsoft Anti-Cross Site Scripting (Anti-XSS) Library version 3.1.  Read more about Anti-XSS v3.1 on the Information Securi
[转载]推荐一个被大家忽视的微软的反跨站脚本库Anti-XSS V3.1
weixin_33860553的博客
12-09 98
每个项目都在无休无止的用到跨站脚本过滤,大家都是自己写,于是各种各样的正则表达式层出不尽。     推荐的这个微软的反跨站脚本库,个人感觉是非常棒的,也不再需要为自己的代码是否过滤完全而绞尽脑汁了。     文件名:Microsoft Anti-Cross Site Scripting Library V3.1     下载地址:http://www.microsoft.com/downl...
Anti-XSS
weixin_34311757的博客
10-05 184
msi安装程序,安装之后,安装目录下有以下文件AntiXSS.chm 包括类库的操作手册参数说明HtmlSanitizationLibrary.dll 包含Sanitizer类(输入白名单)AntiXSSLibrary.dll 包含Antixss,Encoder类(输出转义)使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary...
使用antixss御xss
收集盒 Book box
08-02 903
本文摘要 AntiXSS,由微软推出的用于止XSS攻击的一个类库,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于止XSS攻击的一个类库,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
AntiXSS V4.2.1发布,包含最新护工具与英文文档
AntiXSS V4.2.1 是微软推出的一个专门用于跨站脚本攻击(XSS)的安全库,广泛应用于 Web 应用程序开发中。该库的发布版本 AntiXSS_V4.2.1.dll 提供了一系列安全函数和编码方法,能够有效过滤和编码用户输入内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值