1
標準データベースではなく、XML形式でサーベイデータを保存するWebアプリケーションがあります。サードパーティの調査コンポーネントを使用します(実際にはthis componentですが、一部の機能を追加するように変更されています)XMLとしてデータを保存する際の攻撃を防止する
現在、私たちは非常に限定的なホワイトリスト検証アプローチを使用して、 XMLファイル。しかし、ホワイトリストのルールは、お客様のサポートの問題に変わりつつあります。彼らは単に制限が厳しいので、私は単にでもという制限があるのだろうかと思っています。誰かが角かっこ(HTML/xmlタグを閉じていない、閉じていない)を使用していた場合、XML文書にどのような影響があるのか分かりません。
これらをCDATAセクションに格納し、このような場合、XML文書の破損を防ぐ出力が得られますか? Microsoft.Anti-XssおよびWeb Protectionライブラリを使用して、すべての信頼できない出力をサニタイズします。
さらに、XMLインジェクションやXMLデータに固有のXSSを防ぐガイドがありますか?または私はちょうどこれを考えていますか?
重要な質問は、出力を適切に消毒している限り、入力をフィルタリングする必要がありますか?私の否定的な性格ははいですが、私は確信が持てません。私は専門家の意見を求めるでしょう。