看到保哥貼了 Hacking is child's play ,就算有參數化SQL指令,但使用者輸入資料(例如討論區等)還是很難防,所以小小做個筆記。
今年的MSDN Magazine有一篇保護 ASP.NET 應用程式的安全,裡頭就提到AntiXSS,其實AntiXSS是Microsoft Web Protection Library的一部份。
原本AntiXSS包含了Sanitizer 物件,在4.x後分成兩個DLL,但是目前微軟網站的Microsoft Anti-Cross Site Scripting Library V4.2並未包含Sanitizer 進去,因此必須自己下載Source Code編譯。
我編好後,把HtmlSanitizationLibrary.dll 加到專案,就有Sanitizer可用;另一方面編譯出來的AntiXSSLibrary.dll 是4.1.0版,下載的AntiXSSLibrary.dll 是4.2.0版,所以我沿用官方版。
這樣一來,只要在 .cs 加上 using Microsoft.Security.Application; 就可以用 string cleanData = Sanitizer.GetSafeHtmlFragment(wysiwygData); 把一些script或編碼資料去除。
同時也可以在 web.conf裡的 <system.web>區塊加上
因為這個屬性只能出現一次,所以像我有加大Request的,就必須寫成一行
原本AntiXSS包含了Sanitizer 物件,在4.x後分成兩個DLL,但是目前微軟網站的Microsoft Anti-Cross Site Scripting Library V4.2並未包含Sanitizer 進去,因此必須自己下載Source Code編譯。
我編好後,把HtmlSanitizationLibrary.dll 加到專案,就有Sanitizer可用;另一方面編譯出來的AntiXSSLibrary.dll 是4.1.0版,下載的AntiXSSLibrary.dll 是4.2.0版,所以我沿用官方版。
這樣一來,只要在 .cs 加上 using Microsoft.Security.Application; 就可以用 string cleanData = Sanitizer.GetSafeHtmlFragment(wysiwygData); 把一些script或編碼資料去除。
同時也可以在 web.conf裡的 <system.web>區塊加上
<httpRuntime encoderType= "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>,改用較安全版本。
因為這個屬性只能出現一次,所以像我有加大Request的,就必須寫成一行
<httpRuntime maxRequestLength="2097151" encoderType= "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>
留言