Читал о различных атаках типа инъекций, и кажется, что лучший способ избавиться от этих уязвимостей — это закодировать весь пользовательский ввод, чтобы удалить / заменить одни символы другими (‹ > ; и т. д.).
Каков мой лучший выбор здесь? Есть ли какие-нибудь хорошие библиотеки, которые помогут мне в этом? Или что-то, что может помочь мне обнаружить потенциальные уязвимости? - Или регулярные выражения мой лучший выбор? :)
Большое спасибо
Взгляните на библиотеку AntiXSS.
Из них я бы проголосовал за ESAPI, поскольку я использовал Java-версию ESAPI для предотвращения атак XSS. Имейте в виду, что простое HTML-кодирование данных не помешает XSS. Контекст данных также важен — вам придется избежать JavaScript, если вы динамически генерируете его и внедряете в ответ на сервере.
Server в экземплярах Page ASP.NET (доступных через Page, то есть this) предлагает метод HtmlEncode(), которого должно быть достаточно для предотвращения атак XSS.
По умолчанию, не разрешая это явным образом ни в web.config, ни через директиву страницы, ASP.NET отклонит любой подозрительный ввод со страницей с ошибкой.
У вас есть 3 хороших варианта защиты от межсайтового скриптинга:
Я бы попробовал в таком порядке.
Недавно я просматривал ESAPI.NET, и проект кажется незавершенным и, возможно, неактивным, особенно по сравнению с пакетом java.
Anti-XSS охватывает только часть области действия ESAPI, и действительно, ESAPI.NET использует AntiXSS (хотя и не самую последнюю версию) для кодирования.
Будут полезны любые комментарии, свидетельствующие о полезности ESAPI.NET.
