2017年6月23日 星期五

[研究] Microsoft Anti-XSS Library V4.3 (Anti-Cross Site Scripting Library)

[研究] Microsoft Anti-XSS Library V4.3 (Microsoft Anti-Cross Site Scripting Library V4.3)

2017-06-23 更新
2016-11-17

Microsoft Anti-XSS Library V4.3 (Microsoft Anti-Cross Site Scripting Library V4.3)
https://www.microsoft.com/en-us/download/details.aspx?id=43126

NuGet - AntiXss
https://www.nuget.org/packages/AntiXss/

****************************************

.NET Framework 4.6 and 4.5 .NET Framework 類別庫  System.Web 命名空間
System.Web.Security.AntiXss 命名空間
https://msdn.microsoft.com/zh-tw/library/system.web.security.antixss.aspx

****************************************

ASP.NET 4.5改良
已內建Anti-Cross Site Scripting Library,AntiXssEncoder.HtmlEncode,或用懶人法<%#: Eval(“PropName”) %>
http://blog.darkthread.net/post-2012-04-25-vs11-and-aspnet-45-beta-seminar.aspx

****************************************

AntiXSS 成為內建功能
AntiXSS 這個強大的 XSS 攻擊保護函式庫,在 ASP.NET 上一直屬於外掛的功能,但到了 ASP.NET 4.5,它變成了內建的功能,ASP.NET 4.5 內建的是 AntiXSS 4.0,命名空間是 System.Web.Security.AntiXSS,內含了 AntiXSSEncoder 類別,但是它預設並不會啟用,必須要開發人員在 Web.config 中加入這一段:


<httpRuntime ...
  encoderType="System.Web.Security.AntiXss.AntiXssEncoder,
                          System.Web,
                         Version=4.0.0.0,
                         Culture=neutral,
                         PublicKeyToken=b03f5f7f11d50a3a" />


而像是 HtmlEncode, HtmlFormUrlEncode, XmlEncode, UrlEncode, UrlPathEncode, CssEncode 等也都成為了內建功能,為防護 XSS 攻擊做了更完善的保護。
https://dotblogs.com.tw/regionbbs/2012/03/01/asp_net_4_5_new_feature_in_core_services


****************************************

AntiXss 功能被內建至 .NET Framework 4.5 :
http://msdn.microsoft.com/zh-tw/library/system.web.security.antixss.aspx
如果要啟用,請參考
http://msdn.microsoft.com/zh-tw/library/system.web.security.antixss.antixssencoder.aspx
下方說明。

****************************************

Html Editor vs HtmlEncode/Sanitizer.GetSafeHtmlFragment
https://social.msdn.microsoft.com/Forums/zh-TW/2abfcce7-a8fe-4c4f-ba2d-2ed275685bdc/html-editor-vs-htmlencodesanitizergetsafehtmlfragment?forum=236

****************************************
Why not Anti-XSS Library is built in .NET Framework ?
https://social.msdn.microsoft.com/Forums/en-US/44ed592f-dc64-43c1-9211-6877b8b32a50/why-not-antixss-library-is-built-in-net-framework-?forum=netfxbcl

(待續)

沒有留言:

張貼留言