Comment la prise en charge de XSS (Cross Site Scripting) fournie par ASP.net diffère-t-elle d'AntiXss. AntiXss est une bibliothèque Microsoft pour sécuriser votre site contre XSS. Les deux API semblent presque similaires et il semble qu'ils peuvent facilement être changés d'un à l'autre en faisant trouver replace dans vos fichiers de code.Prise en charge de XSS dans ASP.net Vs AntiXss Lib
Lequel offre plus de sécurité contre XSS? Est-il souhaitable d'utiliser le support intrinsèque fourni par ASP.net?
Si je ne recherche que l'encodage html et url, est-ce qu'il serait prudent d'utiliser le support intrinsèque d'ASP.net plutôt que de créer une dépendance sur AntiXSS? Quel est ton consseille. –
L'encodage de la liste blanche est par définition plus sûr que l'encodage de la liste noire, il est donc sage d'utiliser la bibliothèque 'AntiXss'. Toutefois, lorsque vous utilisez ASP.NET 4.0, vous pouvez laisser l'infrastructure utiliser la bibliothèque 'AntiXss' sous les couvertures lorsque vous utilisez la méthode' HttpUtility.HtmlEncode'. Cela vous évite d'avoir une dépendance directe sur la bibliothèque et permet à l'ensemble de la pile de contrôles ASP.NET d'utiliser cette bibliothèque. Voir ce blog pour plus d'informations: http://idunno.org/archive/2010/04/07/replacing-the-asp.net-encoder-with-antixss.aspx. – Steven
Vous devriez noter que l'implémentation de la classe 4.0 signifie toujours que vous devrez avoir la dépendance. Alors que le framework a un encodage HtmlAttribute et a, à partir de la version 4.0, un code Javascript, il utilise toujours une liste noire plutôt qu'une liste blanche. Bien sûr, cela signifie que les versions du framework peuvent être plus rapides, mais AntiXSS devrait être intrinsèquement plus sûr. – blowdart