XSS跨站腳本攻擊
是指用戶輸入HTML編碼對網站進行跨站攻擊。
通過使用FCKeditor、FreeTextBox、Rich TextBox、Cute Editor、TinyMCE等等Html編輯器,用戶可以輸入一些危險字符,注入到網站中,形式XSS。
(一般的解決辦法是使用BBCode的方法,但它的表現力不是很友好,而且并不是標準格式。)
而AntiXSS就是微軟推出用于防止XSS的一個類庫,
AntiXSS的工作機制與ASP.NET編碼函數不同:
- ? ? ?AntiXSS使用一個信任字符的白名單,而ASP.NET的默認實現是一個有限的不信任字符的黑名單,AntiXSS只允許已知安全的輸入,因此它提供的安全性能要超過試圖阻止潛在有害輸入的過濾器。
- ? ? ?AntiXSS庫的重點是阻止用程序的安全漏洞,而ASP.NET編碼主要關注防止HTML頁面顯示不被破壞。
)
