Microsoft Anti-Cross-Site-Scripting-Bibliothek

Question

Ich bin Bewertung der Microsoft Anti-Cross-Site-Scripting-Bibliothek (AntiXSS V3)

Ich muss sagen, dass außer mir scheint, ein umfassenderes weiße Liste akzeptabler Zeichen von der Bereitstellung, es ist nicht wirklich etwas an die Partei zu bringen, die ein fleißiger Programmierer, der alle seine Benutzer / Agenten modifizierbar Ausgang codiert würde nicht tun trotzdem.

Fehle ich einen Trick?

Answer 1

Ich glaube nicht, dass Sie nichts außer der Tatsache, sind vermisst, dass die Zahl der Programmierer, die bewusst die richtige sichere Codierung sind sehr klein, und diejenigen, die es immer noch weniger richtig tun können.

Die Bibliotheken werden geschrieben, um die Dinge einfacher für die durchschnittlichen Entwickler zu machen, und ich würde davon ausgehen, dass jede Bibliothek, die von Microsoft mit dem ausdrücklichen Zweck der Verbesserung der Sicherheit durch einen Codierer getan würde geschrieben (oder ein Team von Programmierern), die Experten sind auf dem Feld, im Gegensatz zu Ihrem normalen täglichen Entwickler, der die Bedürfnisse ihrer Unternehmen konzentriert sich auf. (Ich würde denken, dass sie dieses Recht auf tun viel Wert setzen würde, wenn man bedenkt, wie Microsoft-Produkte sind gemalt immer als „unsicher“ von MS-Hasser gemalt)

Als Parallele, denken über die Verschlüsselung. Eine sorgfältige Codierer mit einem sicheren Verschlüsselungsalgorithmus einfiel. Allerdings sagen Ihnen OWASP-Richtlinien nicht mit Ihrem eigenen Algorithmus zu kommen, aber getestet Algorithmen, die von Experten und erprobte entwickelt zu verwenden.

Wenn wir ein Werkzeug von Experten, die den Job für sich tun, warum sollten wir versuchen, dies zu tun, auf eigene Faust? Ich würde sagen, es wäre gut, das Microsoft Anti-Cross-Site-Scripting-Bibliothek allein aus diesem Grunde zu verwenden, wenn es so funktioniert.