Ich versuche gerade, meine klassische ASP-Anwendung von XSS zu sichern. Ich stieß auf das AntiXSS von Microsoft im Netz und ich fragte mich, ob das mit einer klassischen Anwendung funktionieren würde?Anti XSS und Classic ASP
Wenn nicht, hast du irgendwelche Ideen, wie ich die Saiten sanieren könnte?
@Steoates: Dies hier ist im Allgemeinen eine ziemlich anständige Lösung. –
Und wenn Sie Rich Text anzeigen müssen (Altsystem, Seufzer), ist das Schreiben einer Bereinigungsfunktion für die Verwendung mehrerer regulärer Ausdrücke mindestens ein Schritt in die richtige Richtung. –
Laut OWASP ist HTMLEncoding einfach nicht genug. Siehe: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#Why_Can.27t_I_Just_HTML_Entity_Encode_Untrusted_Data.3F – blischalk