Czytałem w systemie Runtime Engine Anti-XSS Security i wygląda na to, że jest to dobre rozwiązanie dla formularzy internetowych, ponieważ sprawdza kontrole poprzez odbicie i automatycznie koduje dane w odpowiednich przypadkach. Jednak ponieważ nie używam kontrolek po stronie serwera w ASP.NET MVC, nie wydaje się, aby był on skutecznym rozwiązaniem dla ASP.NET MVC. Czy to prawda, czy też coś mi brakuje?Czy należy używać mechanizmu wykonawczego zabezpieczeń Anti-XSS Security w środowisku ASP.NET MVC?
Czy należy używać mechanizmu wykonawczego zabezpieczeń Anti-XSS Security w środowisku ASP.NET MVC?
Odpowiedz
Phil Haack ma interesujący post na blogu tutaj http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx. Sugeruje użycie Anti-XSS w połączeniu z CAT.NET.
Czytanie tego artykułu potwierdza moje zrozumienie braku kontroli po stronie serwera w ASP.NET MVC. "W MVC wymieniliśmy kontrole serwerów za pomocą naszych metod pomocniczych, które prawidłowo kodują dane wyjściowe" – Blegger
[Zaktualizowany link] (http://haacked.com/archive/2009/02/07/take-charge-of-your- security.aspx) do wpisu na blogu Haacka. – patridge
Aparat wykonawczy zabezpieczeń Anti-XSS Security jest modułem HTTP zaprojektowanym głównie z myślą o aktualizowaniu starszych aplikacji ASP.NET. Jeśli już napisałeś aplikację ASP.NET MVC z odpowiednim oczyszczeniem danych za pomocą wbudowanych pomocników HTML (tj. Html.Encode()), to aparat Anti-XSS Engine nie dodaje nic nowego i wymaga dodatkowej konfiguracji (w celu uzyskania niezbędnych białych znaków). list) i sprawdzanie błędów.
Podsumowując, nie powinieneś polegać na silniku Anti-XSS, szczególnie jeśli polegasz na wyraźnej kontroli kiedy wejście jest i nie jest renderowane jako HTML.
Rodzaj - Posiadam AntiXss i SRE i chociaż są częścią tego samego projektu, nie są tym samym. Kodowanie AntiXSS różni się od koderów .NET tym, że używamy bezpiecznych list, a nie niebezpiecznych list, aby zdecydować, które znaki należy zamienić na ich odpowiedniki heksadecymalne, a które nie. Ma to koszt wydajności, ale z natury jest bezpieczniejsze. Tak więc istnieje korzyść z używania tych procedur kodowania. Środowisko wykonawcze zabezpieczeń to inna bestia, jest to prosta zapora aplikacji, która wyszukuje typowe ataki. Części tego są specyficzne dla sieci, części współpracują z webformami i MVC – blowdart
- 1. Czy powinienem używać "Integrated Security = True" w środowisku produkcyjnym?
- 2. Najlepsze praktyki ASP.NET Security
- 3. Czy należy używać programu Security Manager w aplikacjach WWW Java?
- 4. Czy należy używać wykresów google w środowisku produkcyjnym?
- 5. Gdzie należy umieścić kwerend w ASP.NET MVC
- 6. Kiedy należy używać struktury MVC w JavaScript?
- 7. Błędy rejestrowania w środowisku ASP.NET MVC
- 8. Atrybut autoryzacji w środowisku ASP.NET MVC
- 9. Czy mogę używać wyrażeń w adnotacjach zabezpieczeń Apache Shiro?
- 10. Wymagana instalacja środowiska wykonawczego ASP.NET MVC na serwerze "testowym"
- 11. DI na wymagania/zasady w środowisku ASP.NET MVC 6
- 12. Sposoby wdrażania jednostki pracy w środowisku ASP.NET MVC
- 13. Jak uzyskać kolekcję błędów stanu modelu w środowisku ASP.NET MVC?
- 14. Wybierz pomocnika znaczników w środowisku ASP.NET Core MVC
- 15. XML-RPC w ASP.NET MVC
- 16. Jak używać jquery w asp.net mvc 4?
- 17. ModelFactory w środowisku ASP.NET MVC w celu rozwiązania problemu "RenderPartial"
- 18. Czy można używać instrukcji "using" w widokach aspx? (ASP.NET MVC)
- 19. kiedy używać nokaut javascript z ASP.NET MVC
- 20. Czy w nazwach kolumn należy używać podkreśleń?
- 21. Content-Security-Policy w ASP.NET WebForms
- 22. Jak zaktualizować złożony model w środowisku ASP.NET MVC 3
- 23. Jak przetestować niestandardowe bindery modeli w środowisku ASP.NET MVC?
- 24. Jak zapewnić ostrzeżenia podczas sprawdzania poprawności w środowisku ASP.NET MVC?
- 25. Jaki poziom zaufania aplikacji jest wymagany w środowisku ASP.NET MVC?
- 26. Sprawdzanie poprawności opublikowanych danych formularzy w środowisku ASP.NET MVC
- 27. Czy lepiej byłoby używać Asp.net mvc lub usług internetowych?
- 28. Czy powinienem używać wbudowanego dostawcy członkostwa dla aplikacji ASP.NET MVC?
- 29. Wydajność routingu ASP.NET MVC
- 30. Czy należy używać uwierzytelniania JWT lub podstawowego tokena w środowisku Django Rest Framework?
Interesujące pytanie - niektórzy konsultanci ds. Bezpieczeństwa zachwycają się tym w inny dzień w pracy. Byłbym zainteresowany znalezieniem ludzi, którzy go adoptują. – RichardOD