Microsoft Anti-Cross 사이트 스크립팅 라이브러리
https://stackoverflow.com/questions/1406063
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
Microsoft Anti-Cross Site Scripting Library (Antixss V3)를 평가하고 있습니다.
허용 가능한 캐릭터의보다 포괄적 인 흰색 목록을 제공하는 것 외에도 모든 사용자/에이전트 수정 가능한 출력을 인코딩 한 부지런한 프로그래머가 어쨌든하지 않을 것이라는 것은 파티에 아무것도 가져 오지 않는다고 말해야합니다.
내가 속임수를 놓치고 있습니까?
해결책
적절한 안전한 코딩을 알고있는 프로그래머의 수가 매우 작고 제대로 수행 할 수있는 프로그래머 수는 여전히 적다는 사실을 제외하고는 아무것도 놓치지 않는다고 생각합니다.
도서관은 평균 개발자가 더 쉽게 할 수 있도록 작성되었으며, 보안을 향상시키기위한 명시적인 목적으로 Microsoft가 작성한 모든 라이브러리는 현장 전문가 인 코더 (또는 코더 팀)가 수행한다고 가정합니다. 회사의 요구에 중점을 둔 정상적인 일상 개발자와 반대로. (Microsoft 제품이 항상 MS-Haters의 "안전하지 않은"것으로 페인트받는 것으로 그리는 방법을 고려할 때, 그들이이 권리를 높이는 데 많은 중요성을 부여 할 것이라고 생각합니다).
병렬로 암호화에 대해 생각하십시오. 부지런한 코더는 안전한 암호화 알고리즘을 만들 수 있습니다. 그러나 OWASP 가이드 라인은 자체 알고리즘을 제시하지 않고 전문가가 개발 한 테스트 된 알고리즘을 사용하고 테스트 한 테스트 된 알고리즘을 사용한다고 말합니다.
전문가의 일을하는 도구가 있다면 왜 우리가 이것을 스스로하려고 노력할 것인가? 광고 된대로 작동한다면 이러한 이유만 Microsoft Anti-Cross 사이트 스크립팅 라이브러리를 사용하는 것이 좋을 것이라고 말하고 싶습니다.
