AntiXSS防止跨站脚本攻击
AntiXSS,由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制。
AntiXSS 下载地址:http://pan.baidu.com/s/1kUNbBxX
如果下载遇到问题可以给我留言,我再从处理。
接下来的表格将帮助你决定使用哪个编码函数:
|
编码函数 |
应该使用的场景 |
示例/模式 |
|
HtmlEncode |
不可信的输入被用作html输出,被分配给一个html属性除外 |
<a href="http://www.contoso.com">Click Here [Untrusted input]</a> |
|
HtmlAttributeEncode |
不可信的输入作为一个html属性 |
<hr noshade size=[Untrusted input]> |
|
JavaScriptEncode |
不可信的输入作为一个JavaScript上下文 |
<script type="text/javascript"> … [Untrusted input] … </script> |
|
UrlEncode |
不可信的输入作为一个url(例如作为一个查询参数的值) |
<a href="http://search.msn.com/results.aspx? q=[Untrusted-input]">Click Here!</a> |
|
VisualBasicScriptEncode |
不可信的输入作为一个visual basic上下文 |
<script type="text/vbscript" language="vbscript"> … [Untrusted input] … </script> |
|
XmlEncode |
不可信的输入作为一个xml输出,除了把它作为一个xml节点的属性 |
<xml_tag>[Untrusted input]</xml_tag> |
|
XmlAttributeEncode |
不可信的输入作为一个xml的属性 |
<xml_tag attribute=[Untrusted input]>Some Text</xml_tag> |
在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件)调用 GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。确保所有输出内容都经过 HTML 编码。
浙公网安备 33010602011771号