Biblioteca de secuencias de comandos de sitios de Microsoft Anti-Cross

Question

Estoy evaluando la Biblioteca de secuencias de comandos del sitio de Microsoft Anti-Cross (AntiXSS V3)

Tengo que decir que me parece que, aparte de proporcionar una lista blanca más completa de caracteres aceptables, realmente no está aportando nada a la fiesta que un programador diligente que codificara toda su salida modificable por el usuario / agente no estaría haciendo de todos modos.

¿Me estoy perdiendo un truco?

Answer 1

No creo que te estés perdiendo nada, excepto por el hecho de que el número de programadores que conocen la codificación segura adecuada es muy pequeño, y los que pueden hacerlo correctamente son aún menos.

Las bibliotecas están escritas para facilitar las cosas a su desarrollador promedio, y supongo que cualquier biblioteca que esté escrita por Microsoft con el propósito expreso de mejorar la seguridad será realizada por un programador (o equipo de programadores) que son expertos en el campo, a diferencia de su desarrollador habitual que se centra en las necesidades de su empresa. (Creo que darían mucha importancia a hacer esto bien, considerando cómo los productos de Microsoft siempre son pintados como pintados como "inseguros" por los que odian a MS)

Como paralelo, piense en el cifrado. Un codificador diligente podría proponer un algoritmo de cifrado seguro. Sin embargo, las pautas de OWASP le dicen que NO presente su propio algoritmo, sino que use algoritmos probados desarrollados por expertos y bien probados.

Si tenemos una herramienta de expertos que hace el trabajo por ella, ¿por qué intentaríamos hacerlo por nuestra cuenta? Yo diría que sería bueno usar la Biblioteca de secuencias de comandos de Microsoft Anti-Cross Site solo por este motivo, si funciona como se anuncia.