Microsoft Anti-Cross Site Scripting Library
質問
Microsoft Anti-Cross Site Scripting Library(AntiXSS V3)を評価しています
受け入れ可能なキャラクターのより包括的なホワイトリストを提供することは別として、ユーザー/エージェントの変更可能な出力をすべてエンコードした勤勉なプログラマーがしていないことは、パーティーに実際には何ももたらさないと私は思わなければなりませんとにかく。
トリックがありませんか?
解決
適切な安全なコーディングを知っているプログラマーの数が非常に少なく、適切にそれを行うことができるプログラマーがまだ少ないという事実を除いて、あなたが何かを見逃しているとは思わない。
ライブラリは、平均的な開発者の作業を容易にするために作成されています。セキュリティを強化するという明確な目的でマイクロソフトが作成したライブラリは、専門家であるコーダー(またはコーダーのチーム)によって実行されると思います自分の会社のニーズに焦点を合わせている通常の日常の開発者とは対照的に、現場で。 (Microsoft製品が常にMS嫌悪者によって「安全ではない」と表示されているように、どのように表示されるかを考えると、彼らはこの正しいことを非常に重要視すると思います)
並行して、暗号化について考えてください。勤勉なコーダーは、安全な暗号化アルゴリズムを考え出すことができます。ただし、OWASPガイドラインでは、独自のアルゴリズムを考え出すのではなく、専門家によって開発され、十分にテストされたテスト済みのアルゴリズムを使用するように指示されています。
そのための専門家によるツールがあれば、なぜ私たちは自分でこれをやろうとしますか?宣伝どおりに機能する場合は、この理由だけでMicrosoft Anti-Cross Site Scripting Libraryを使用することをお勧めします。