私はAnti-XSS Security Runtime Engineを読んでおり、リフレクションによってコントロールを検査し、必要に応じてデータを自動的にエンコードするため、Webフォームの優れたソリューションのようです。しかし、私は実際にASP.NET MVCでサーバー側のコントロールを使用しないので、ASP.NET MVCの実行可能なソリューションではないようです。これは正しいのですか、何か不足していますか?ASP.NET MVCでAnti-XSSセキュリティランタイムエンジンを使用する必要がありますか?
答えて
フィル・ハークはここhttp://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx興味深いブログ記事を持っています。彼は、CAT.NETと組み合わせたAnti-XSSの使用を提案しています。
アンチXSSセキュリティランタイムエンジンは、主に更新レガシーASP.NETアプリケーションを中心に設計されたHTTPモジュールです。 Anti-XSS Engineは、組み込みのHTMLヘルパー(Html.Encode())を使用して適切なデータクレンジングを行ってASP.NET MVCアプリケーションを作成していれば、新しいものは何も追加せず、追加の設定が必要です(必要なホワイト - リスト)とエラーチェック。
すべてのすべてで、あなたが入力され、HTMLとしてレンダリングされていないときの明示的な制御に依存している場合は特に、アンチXSSエンジンに頼るべきではありません。
種類 - 私はAntiXssとSREを所有していますが、彼らは同じプロジェクトの一部ですが、同じものではありません。 AntiXSSのエンコーディングは、安全でないリストではなく、安全なリストを使用して、16進数に変換する必要がある文字とそうでない文字を決める点で.NETエンコーダと異なります。これにはパフォーマンスコストがありますが、本質的に安全です。したがって、これらのコード化ルーチンを使用する利点があります。 セキュリティランタイムは異なる獣です。一般的な攻撃を探す単純なアプリケーションファイアウォールです。その一部はWebフォーム固有で、webformsとMVCの両方で動作します。 – blowdart
- 1. ASP.Net MVC、NHibernate、LINQ、EFで何を使用する必要がありますか?
- 2. Learn Asp.net Core MVCを知る必要がありますか?
- 3. ASP.NET MVC3:MembershipProviderを使用する必要がありますか?
- 4. ASP.NET MVC "HTTPS required"メッセージをバイパスする必要があります
- 5. ASP.NET MVCビューをパラメータ化する必要があります
- 6. asp.net mvc appsをあらかじめコンパイルする必要がありますか?
- 7. ImageMagicでは、GhostscriptをASP.NET MVCで実行する必要がありますか?
- 8. いつJavaScriptでMVCフレームワークを使用する必要がありますか?
- 9. viewmodelsはasp.net mvcで作成/操作する必要がありますか?
- 10. いつasp.net Webサイトでサービスバスを使用する必要がありますか?
- 11. いつASP.NET MVCで非同期コントローラを使用する必要がありますか?
- 12. プロダクションWebサーバーにASP.NET MVCをインストールする必要がありますか?
- 13. ASP.NET mvcにはどのファイルを展開する必要がありますか?
- 14. ASP.NET MVC 3:どのDLLを展開する必要がありますか?
- 15. ASP.net MVCプロジェクト:jQueryのバージョンを更新する必要がありますか?
- 16. ユニットテストでAutoMapperを使用する必要がありますか?
- 17. ASP.NET MVC + Backbone.js、これは意味がありますか? ASP.NET MVCは本当に必要ですか?
- 18. NTLMでメンバシップサービスを使用する必要があります
- 19. devDependenciesまたは依存関係をASP.NET MVCプロジェクトのpackage.jsonに使用する必要がありますか?
- 20. ASP.net MVC - ViewModelからAutoMapperをEntity Frameworkエンティティに使用する必要がありますか?
- 21. asp.net-mvcで定期的にログインする必要がありますか? ELMAHを使うべきですか?
- 22. MVC 4シングルページアプリケーションにEntity Frameworkを使用する必要がありますか?
- 23. プロジェクトにMVCパターンフレームワークを使用する必要がありますか?
- 24. なぜOnModelCreating(MVC 5 EFコード)を使用する必要がありますか?
- 25. HttpRuntime.Cacheを使用する必要がありますか?
- 26. ASP.NET MVCが必要ですか?
- 27. ASP.NET MVCにIISが必要ですか?
- 28. どのASP.NETサーバーコントロールを使用する必要がありますか?
- 29. ジャンクションテーブルを使用する必要がありますか?
- 30. ASP.NET MVC 3イントラネットでクライアントレジストリを読み取る必要があります
興味深い質問 - 私たちは先日、職場でこのことについていくつかのセキュリティコンサルタントを賞賛しました。私は人々のそれの採用を見つけることに興味があるだろう。 – RichardOD