J'ai lu sur Anti-XSS Security Runtime Engine et il ressemble à une bonne solution pour les formulaires Web car il inspecte les contrôles via la réflexion et encode automatiquement les données le cas échéant. Cependant, comme je n'utilise pas vraiment les contrôles côté serveur dans ASP.NET MVC, cela ne semble pas être une solution viable pour ASP.NET MVC. Est-ce correct ou ai-je oublié quelque chose?Dois-je utiliser le moteur d'exécution de sécurité Anti-XSS dans ASP.NET MVC?
Répondre
Phil Haack a un blog intéressant ici http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx. Il suggère d'utiliser Anti-XSS combiné avec CAT.NET.
La lecture de cet article réaffirme à peu près ma compréhension du manque de contrôles côté serveur dans ASP.NET MVC. "Avec MVC, nous avons échangé les contrôles serveur avec nos méthodes auxiliaires, qui encodent correctement la sortie" – Blegger
[Updated link] (http://haacked.com/archive/2009/02/07/take-charge-of-your- security.aspx) à l'entrée de blog de Haack. – patridge
Le moteur d'exécution de sécurité Anti-XSS est un module HTTP principalement conçu pour la mise à jour des applications ASP.NET héritées. Si vous avez déjà écrit l'application ASP.NET MVC avec un nettoyage correct des données avec les Helpers HTML intégrés (ie Html.Encode()), le moteur Anti-XSS n'ajoute rien de nouveau et nécessite une configuration supplémentaire (pour les blancs nécessaires). listes) et la vérification des erreurs. Dans l'ensemble, vous ne devriez pas compter sur le moteur Anti-XSS, surtout si vous comptez sur le contrôle explicite lorsque l'entrée est et n'est pas rendue au format HTML.
Type de - Je possède AntiXss et le SRE et bien qu'ils fassent partie du même projet, ils ne sont pas la même chose. Le codage d'AntiXSS diffère des encodeurs .NET en ce sens que nous utilisons des listes sûres, plutôt que des listes non sûres pour décider quels caractères doivent être transformés en leurs équivalents hexadécimaux et lesquels ne le sont pas. Cela a un coût de performance, mais est intrinsèquement plus sûr. Il y a donc un avantage à utiliser ces routines d'encodage. L'environnement d'exécution de sécurité est une bête différente, c'est un simple pare-feu d'application qui recherche les attaques les plus courantes. Certaines parties sont spécifiques aux formulaires Web, les parties fonctionnent avec les deux formulaires Web et MVC. – blowdart
- 1. Problème avec la "sécurité" et le moteur de routage ASP.NET
- 2. Recommandations de sécurité ASP.NET MVC
- 3. asp.net WebForms & asp.net options de sécurité MVC
- 4. Performances du moteur de visualisation ASP.NET MVC
- 5. Un wiki pour asp.net mvc wiki-moteur
- 6. Comment utiliser plusieurs moteurs de vue dans l'application ASP.NET MVC
- 7. Sécurité basée sur les rôles asp.net mvc
- 8. moteur de questionnaire d'enquête asp.net
- 9. Moteur de recherche, asp.net mvc, Domain Driven Design
- 10. Sécurité avec des valeurs QueryString dans Asp.net MVC
- 11. Quand utiliser UserControls dans ASp.Net MVC
- 12. MVC Implémentation où un moteur de recherche est le modèle
- 13. exception de sécurité dans asp.net
- 14. C# ASP.NET - comment utiliser le moteur de vue par défaut standalone?
- 15. Peut-on utiliser des expressions de ressources dans ASP.NET MVC
- 16. ASP.NET MVC Views - Puis-je utiliser le code-behind?
- 17. Moteur de workflow configurable pour l'application ASP.NET
- 18. Moteur de recherche Carte du site Asp.Net
- 19. Utiliser un rôle Banni - ASP.NET MVC
- 20. asp.net MVC, comment utiliser la classe HTTPApplication
- 21. Message d'autorisation de sécurité ASP.NET
- 22. Moteur ASP.NET pour E-commerce
- 23. Le programme asp.net affecte le résultat dans le moteur de recherche
- 24. Comment utiliser au mieux l'en-tête Expires dans ASP.NET MVC?
- 25. WPF, sécurité WCF utilisant l'authentification ASP.Net
- 26. Comment utiliser les gestionnaires génériques (ASHX) dans ASP.NET MVC?
- 27. Comment utiliser les paramètres facultatifs dans un contrôleur ASP.NET MVC
- 28. Un bug dans le moteur de routage pour .NET?
- 29. ASP.NET MVC - Puis-je utiliser la configuration du rôle de l'utilisateur ASP.NET commom avec MVC?
- 30. Comment utiliser une méthode d'extension dans une vue ASP.NET MVC?
Question intéressante - nous avons eu quelques consultants en sécurité délirer à ce sujet l'autre jour au travail. Je serais intéressé à trouver l'adoption des gens. – RichardOD