나는 마이크로 소프트 안티 - 크로스 사이트 스크립팅 라이브러리 (AntiXSS V3)마이크로 소프트 안티 - 크로스 사이트 스크립팅 라이브러리
을 평가하고있어 나는 그것이 허용되는 문자의보다 포괄적 인 화이트리스트를 제공하는 것을 그 떨어져 날 것으로 보인다 말을 모든 사용자/에이전트 수정 가능한 출력을 인코딩 한 부지런한 프로그래머가 어쨌든하지 않을 것이라는 사실을 파티에 실제로 가져 오지는 않습니다.
트릭이 누락 되었습니까?
적절한 보안 코딩을 알고있는 프로그래머의 수가 매우 적고 제대로 수행 할 수있는 프로그래머의 수가 적다는 것을 제외하고는 무엇이든 누락 된 것으로 생각하지 않습니다.
라이브러리는 일반 개발자가 쉽게 작업 할 수 있도록 작성되었으며 보안 향상을 목적으로 Microsoft에서 작성한 라이브러리는 모두 코더 (또는 코더 팀)가 수행한다고 가정합니다. 전문가가 아닌 회사의 요구에 초점을 맞춘 평범한 일상 개발자와는 다른 분야의 전문가입니다. (Microsoft 제품이 항상 MS- 싫어하는 사람들에 의해 "안전하지 않은"것으로 그려지는 방법을 고려하여이 작업을 수행하는 것이 중요하다고 생각합니다)
평행으로 생각해 보면 암호화에 대해 생각해보십시오. 근면 한 코더는 안전한 암호화 알고리즘을 제시 할 수 있습니다. 그러나 OWASP 지침은 자신의 알고리즘을 사용하지 말고 전문가가 개발하고 잘 테스트 된 알고리즘을 사용하도록 알려줍니다.
우리가 그 일을하는 전문가가 제공하는 도구가 있다면 왜 우리가 스스로 그렇게하려고합니까? 광고 된대로 작동하는 경우 Microsoft Anti-Cross Site Scripting Library를 단독으로 사용해도 좋을 것입니다.
모든 이슈를 생각해 본 전문가가 작성한 요지는 좋은 것이며 아마도 가치있게 만듭니다. 다른 한편으로는 사람들이 실제로 코드에서 호출하도록 강요 할 수있는 방법이 아직 없습니다.이 코드가 .NET에 내장되어 있다면 좋을 것입니다. – AJM
"허용되는 문자의 포괄적 인 흰색 목록"은 자체적으로 가치가 있지 않습니까? – PhilPursglove
그 중 어느 부분에 질문하십니까? 플러그 앤 플레이 "보안 런타임 엔진", 인코딩을위한 향상된 API 또는 둘 다? – Greg