Навеянно постом "Asp.NET контроли і HtmlEncode". Сейчас уже многие пользуются методами HtmlEncode/HtmlDecode и UrlEncode/UrlDecode для обработки данных, которые ввел пользователь. Но эти медоты используют базовый алгоритм, что может не подходить для частных случаев, таких как использование данных в качестве атрибутов html-тегов и других. Более спецефические методы нам предоставлены в библиотеке Microsoft Anti-Cross Site Scripting Library. Более подробно о ней и ещё преимуществах написано в документации.

Также для нахождения Sql и XSS Injection предоставлены Microsoft Source Code Analyzer for SQL Injection и XSS Detect Beta Code Analysis Tool соответственно. НЕ забываем прочитать базовые вседения о безопастности веб-приложений в целом и приложений, написанных на ASP.NET в частности.


Comments are closed