Microsoft Anti-Cross Script Script Biblioteca
https://stackoverflow.com/questions/1406063
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou avaliando a Microsoft Anti-Cross Site Script Library (AntixSS V3)
Devo dizer que, além de fornecer uma lista branca mais abrangente de personagens aceitáveis, não está realmente trazendo nada para a festa que um programador diligente que codificou toda a sua saída modificável de usuário/agente não estaria fazendo de qualquer maneira.
Estou perdendo um truque?
Solução
Eu não acho que você está perdendo nada, exceto pelo fato de que o número de programadores que estão cientes da codificação segura adequada é muito pequena, e aqueles que podem fazê -lo corretamente são menos ainda.
As bibliotecas são escritas para facilitar as coisas para o seu desenvolvedor comum, e eu assumiria que qualquer biblioteca que seja escrita pela Microsoft com o objetivo expresso de melhorar a segurança seria feita por um codificador (ou equipe de codificadores) que são especialistas no campo , em oposição ao seu desenvolvedor cotidiano normal, que se concentra nas necessidades de sua empresa. (Eu acho que eles colocariam muita importância em fazer isso direito, considerando como os produtos da Microsoft são sempre pintados como sendo pintados como "inseguros" por MS-Haters)
Como paralelo, pense em criptografia. Um codificador diligente pode criar um algoritmo de criptografia seguro. No entanto, as diretrizes da OWASP dizem que você não apresenta seu próprio algoritmo, mas para usar algoritmos testados desenvolvidos por especialistas e bem testados.
Se temos uma ferramenta de especialistas que fazem o trabalho por isso, por que tentaríamos fazer isso por conta própria? Eu diria que seria bom usar a biblioteca de script do site Microsoft Anti-Cross por esse motivo, se funcionar como anunciado.
