Libreria di scripting Microsoft Anti-Cross Site
https://stackoverflow.com/questions/1406063
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto valutando la libreria di scripting Microsoft Anti-Cross Site (AntiXSS V3)
Devo dire che, oltre a fornire una lista bianca più completa di personaggi accettabili, non sta davvero portando nulla alla festa che un programmatore diligente che ha codificato tutto il suo output modificabile da utente / agente non farebbe in ogni caso.
Mi manca un trucco?
Soluzione
Non credo che ti manchi nulla tranne il fatto che il numero di programmatori che sono a conoscenza di una codifica sicura adeguata è molto piccolo e quelli che possono farlo correttamente sono ancora meno.
Le librerie sono state scritte per rendere le cose più facili per il tuo sviluppatore medio e suppongo che qualsiasi libreria scritta da Microsoft allo scopo esplicito di migliorare la sicurezza sarebbe realizzata da un programmatore (o team di programmatori) che sono esperti sul campo, al contrario del normale sviluppatore quotidiano che si concentra sulle esigenze della propria azienda. (Penserei che darebbero molta importanza a farlo nel modo giusto, considerando come i prodotti Microsoft vengono sempre dipinti come dipinti come "insicuri" dagli odiatori di MS)
In parallelo, pensa alla crittografia. Un programmatore diligente potrebbe inventare un algoritmo di crittografia sicura. Tuttavia, le linee guida OWASP ti dicono di NON elaborare il tuo algoritmo, ma di utilizzare algoritmi testati sviluppati da esperti e ben collaudati.
Se abbiamo uno strumento di esperti che fa il lavoro per esso, perché dovremmo provare a farlo da soli? Direi che sarebbe utile usare la libreria di scripting Microsoft Anti-Cross Site solo per questo motivo, se funziona come pubblicizzato.
