Моя компания требует, чтобы наш код ASP.NET прошел сканирование Fortify 360 перед выпуском кода. Мы везде используем AntiXSS для очистки вывода HTML. Мы также проверяем ввод. К сожалению, они недавно изменили «шаблон», который использовал Fortify, и теперь он помечает все наши вызовы AntiXSS как «Плохая проверка». Эти вызовы выполняют такие функции, как AntiXSS.HTMLEncode (sEmailAddress).
Кто-нибудь точно знает, что удовлетворило бы Fortify? Многое из того, что он помечает, выводится там, где значение поступает из базы данных, а не от пользователя вообще, поэтому, если HTMLEncode недостаточно безопасен, мы понятия не имеем, что это такое!