3回答
加强和AntiXSS
、、、、
我的公司要求我们的ASP.NET代码在发布代码之前通过Fortify 360扫描。我们在任何地方都使用AntiXSS来清理HTML输出。我们还验证输入。不幸的是,他们最近改变了Fortify使用的“模板”,现在它将我们所有的AntiXSS调用标记为“糟糕的验证”。这些调用正在做类似于AntiXSS.HTMLEncode(sEmailAddress)的事情。
有人确切知道什么能让Fortify满意吗?
浏览 0提问于2010-07-15得票数 5
我正在开发的应用程序是Classic ASP2.0 (VBScript)和.Net 2.0 (C#)的组合。他们购买的工具之一是Fortify 360。因此,我们编写了一些(en/de)编码器和验证/验证例程:<%elseend if
%>
浏览 2提问于2009-10-12得票数 0
回答已采纳
1回答
由于HTML编码不起作用,因此我使用:然后:这个措施解决了我的问题(在HP Fortify中得到了肯定的结果),但是我很担心,因为我使用的是字符串而不是URL。
浏览 3提问于2015-06-11得票数 1
Fortify扫描将此报告为标题操作部分下的漏洞。为了解决这个问题,我尝试用AntiXSS库验证从数据库中获得的值,并尝试用regex (只是字母数字)将值白列出来。但扫描报告仍有问题。
浏览 2提问于2017-07-26得票数 0
AntiXss.HtmlEncode()和AntiXss.GetSafeHtmlFragment()
浏览 1提问于2010-10-18得票数 5
微软的AntiXSS软件很有吸引力,因为它使用白名单,而不是黑名单方法。不幸的是,.net框架4的版本与.net框架4.5+中包含的版本不同。可以将AntiXSS设置为asp.net网站的默认编码器。
谁会有一个示例XSS,其中httpUtility (或默认编码器)以不同于AntiXSS的方式对输出进行编码?我已经查看了许多XSS示例,到目前为止,Antixss产生了与httpUtility相同的输出。这发生在我在Google上发现的示例情况中。这也是一种情况,在这种情况下,AntiXSS会捕获http
浏览 5提问于2015-09-04得票数 0
既然MVC已经通过以下方式引入HTML编码是否仍有使用价值而不是?该方法是否足够安全,可以用于AntiXSS,还是需要显式地使用AntiXSS库?如果我需要使用AntiXSS库,我可以问为什么这种东西还没有内置到MVC中呢?
浏览 13提问于2010-08-05得票数 5
回答已采纳
使用@Html.Raw在特定视图页上显示相同的输入(.现在铃声响得更响了)请有人建议一种扩展或包装现有HtmlHelper的方法吗?
浏览 1提问于2016-03-03得票数 2
2回答
为什么未关闭的html标签不使用Microsoft AntiXSS进行杀毒?string untrustedHtml = "<img src=x onmouseover=confirm(foo) y=";string untrustedHtml = "<img src=x onmouseover=confirm(foo) y=a>";
string trusted
浏览 3提问于2015-02-02得票数 2
1回答
嗯,我的公司有一个网站,里面有5页的web表单和2个mvc,
我们正在考虑把(微软的AntiXSS /网络保护),它应该保护最先进的XSS,但后来iv'e读到,它是.net 4.5的一部分,这意味着我不需要投入任何东西来保护自己
浏览 2提问于2015-06-30得票数 0
3回答
我应该修改所有视图来使用Microsoft.Security.Application.AntiXss.HtmlEncode()之类的吗?
任何帮助都将不胜感激。
浏览 2提问于2014-07-04得票数 3
3回答
但是,当我使用MS AntiXSS 3.1库时,我有一组仅用于编码的方法,这是否意味着可以避免解码?例如lblName.Text = "ABC" + "<script> alert('Inject'); </script";lblName.Text= AntiXSS.HTMLEncode("ABC" + "<script> alert(&#
浏览 1提问于2010-09-23得票数 4
我正在使用微软的AntiXSS库来HtmlEncode网页上显示的内容。有没有办法HtmlEncode,而不是某些字符?例如,如果我有一个类似"RE:电子邮件主题行“的字符串,是否可以使用AntiXSS库对该字符串进行编码,但不将其显示为"RE电子邮件主题行”。我希望显示":“,但仍然希望对输出进行编码。因此,通过同时使用"@“和AntiXSS Html.Encode调用,我进行了双重编码。
浏览 0提问于2011-10-16得票数 0
回答已采纳
警告: trim()希望参数1是string,在home/public_html中给出数组
<?php$email_subject = ""; { {
died
浏览 2提问于2014-01-02得票数 1
1回答
所以我花了将近30分钟的时间寻找AntiXSS 4.2.1的说明(微软的文档已经过时了),但是什么也找不到。有人能告诉我如何让AntiXSS 4.2.1工作吗?
浏览 0提问于2012-06-20得票数 2
回答已采纳
我正在寻找一个可以通过使用AntiXSS编码器4.1Beta作为运行时编码器(在system.web/httpRuntime中设置)的XSS漏洞的示例。我更喜欢不需要显式调用AntiXss函数的方法,比如我在想一些可以通过ASP.NET黑名单但不能通过AntiXSS
浏览 3提问于2011-04-27得票数 10
回答已采纳
1回答
我现在拥有的是:$app->things =render('fruits.php');在fruits.php和其他视图中,我想访问Zend ($app->antiXSS<
浏览 3提问于2014-08-16得票数 0
我使用的是微软AntiXss 3.1库。我们有一些使用非拉丁文字的国际网站。我们使用SEO友好的URL,所以我们有非ASCII字符在URL中结束。我知道AntiXss/WPL 4.0已经发布(在默认情况下似乎不再将国际字符视为安全),但它已经更改了API名称,因此我必须对我们的应用程序进行重大更改才能进行升级。因此,我很乐意回答以下任何一个问题:
如何劝说AntiXss做一个与Uri标准兼容的UrlEncode。有一些保证:如果我们使用符合IRI的AntiXss库输出(这更好),我们就不会在泰国(或其他任何地方)
浏览 0提问于2010-10-24得票数 1
回答已采纳
当任何异常发生在ASP.MVC服务器端代码上时,我希望获取异常的整个堆栈跟踪,并将其放在ViewData中并返回给客户端。例如:{}{ }<script type="text/javascript">
var exceptionStack = '<
浏览 4提问于2010-06-25得票数 0
我试图在将html标记与服务器端脚本合并时使用Microsoft AntiXss.HtmlEncode。Default.aspxDefault.aspx.cs在我的项目中,我一直收到以下警告
浏览 3提问于2016-06-25得票数 0
云服务器
ICP备案
云点播
对象存储
即时通信 IM
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号