有什么好的 .NET 安全编码库吗？

Question

一直在阅读各种注入型攻击，似乎摆脱这些漏洞的最佳方法是对所有用户输入进行编码，以删除/替换某些字符（ ; 等）。

我在这里最好的选择是什么？有没有很好的图书馆可以帮助我解决这个问题？或者可以帮助我发现潜在漏洞的东西？ - 还是正则表达式是我最好的选择？ :)

非常感谢

Answer 1

最近我一直在研究 ESAPI.NET，该项目似乎不完整并且可能不活跃——尤其是与 java 包相比。

Anti-XSS 只涵盖了 ESAPI 范围的一个子集，事实上，ESAPI.NET 使用 AntiXSS（尽管不是最新的）进行编码。

任何证明 ESAPI.NET 有用性的 cmets 都会有所帮助。

Answer 2

您有 3 个不错的跨站点脚本保护选择：

我会按这个顺序试试。

• Microsoft Anti Cross-site Scripting Library
• OWASP Reform
• OWASP ESAPI

Answer 3

ASP.NET 中的Page 实例中的Server（可通过Page 即this 访问）提供了一个HtmlEncode() 方法，足以防止XSS 攻击。

默认情况下，在 web.config 或页面指令中没有明确允许的情况下，ASP.NET 将拒绝任何带有错误页面的可疑输入。

Answer 4

OWASP Antisamy 和 OWASP ESAPI。

其中，我会投票支持 ESAPI，因为我使用 Java 版本的 ESAPI 来防止 XSS 攻击。请记住，数据的纯 HTML 编码不会阻止 XSS。 The context of the data is important as well - 如果您动态生成 JavaScript 并将其注入到服务器的响应中，则必须转义它。

Answer 5

看看AntiXSS library。