01 Mar
2006

Anti-Cross Site Scripting Library 1.0 von Microsoft für ASP.NET

 

Microsoft hat vor ein paar Tagen eine Anti-Cross Site Scripting Library [1] veröffentlicht. Damit ist es möglich HTML Text und URLs so im Browser auszugeben das keine Cross Site Scripting (XSS) Attacken [2] mehr möglich ist. Dazu stellt die Library zwei statische Methoden zu Verfügung. [code] AntiXSSLibrary.HtmlEncode(string) AntiXSSLibrary.UrlEncode(string) [/code] Die Library verwendet ein White-Listing, gibt also nur Zeichen aus die ungefährlich sind. Eine Anwendung der Library ist mit den beiden Methoden sehr einfach, es müssen nur alle Ausgaben auf der Seite die aus einer nicht vertrauenswürdigen Quelle stammen mit den Methoden [i]vorbehandelt[/i] werden. Nicht vetrauenswürdige Quelle sind alle Benutzereingaben, oder Daten von fremden Quellen z.B. RSS-Feeds. [code] string msg = GetUserMessage(347); Response.Write(AntiXXSLibrary.HtmlEncode(msg)); [/code] Die Library kann unter ASP.NET 1.0, 1.1 und 2.0 verwendet werden.
[1] [url=http://www.microsoft.com/downloads/details.aspx?familyid=9a2b9c92-7ad9-496c-9a89-af08de2e5982&displaylang=en]Microsoft Anti-Cross Site Scripting Library V1.0[/url] [2] [url=http://de.wikipedia.org/wiki/XSS]Wikipedia Artikel: Cross Site Scripting[/url]
Der Eintrag ist mir etwas Wert
 
Comments have been closed on this topic.