好吧,我公司有一个网站,它包含5页网页表单和2个mvc,
我们想放(Microsoft AntiXSS/Web保护),它应该保护agiest XSS,但后来我读到它是.net 4.5的一部分,这意味着我不需要放任何东西来保护自己agiestXSS?
在代码背后,我们检查进入服务器的每个文本框(如果它需要是int,那么它检查到int,如果是guid,则检查到guid)。真的需要另一种东西来保护吗?
非常感谢。!
从新功能4.5开始,这些例程已包含在内,但仍需要使用
ASP.NET 4.5和Visual Studio 2012 的新增功能
AntiXSS库
由于Microsoft AntiXSS库的流行,ASP.NET 4.5现在集成了该库4.0版的核心编码例程。
编码例程由新的System.Web.Security.AntiXs命名空间中的AntiXssEncoder类型实现。通过调用类型中实现的任何静态编码方法,可以直接使用AntiXssEncoder类型。但是,使用新的反XSS例程的最简单方法是将ASP.NET应用程序配置为默认情况下使用AntiXssEncoder类。为此,请将以下属性添加到Web.config文件中:
<httpRuntime
encoderType="System.Web.Security.AntiXss.AntiXssEncoder,System.Web,
Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
当encoderType属性设置为使用AntiXssEncoder类型时,ASP.NET中的所有输出编码都会自动使用新的编码例程。
这些是已并入ASP.NET 4.5:的外部AntiXSS库的部分
- HtmlEncode、HtmlFormUrlEncode和HtmlAttributeEncode
- XmlAttributeEncode和XmlEncode
- UrlEncode和UrlPathEncode(新)
- CssEncode