Attualmente sto cercando di proteggere la mia classica applicazione ASP da XSS. Mi sono imbattuto in AntiXSS da Microsoft sulla rete e mi chiedevo se questo avrebbe funzionato con un'applicazione classica?Anti XSS e Classic ASP
Se no avete qualche idea su come potrei andare a disinfettare le corde?
@Steoates: questo, qui, è generalmente una soluzione abbastanza decente. –
E se si deve visualizzare il rich text (sistema legacy, sigh), scrivere una funzione di pulizia per usare più espressioni regolari è almeno un passo nella giusta direzione. –
Secondo OWASP semplicemente HTMLEncoding non è sufficiente. Vedere: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#Why_Can.27t_I_Just_HTML_Entity_Encode_Untrusted_Data.3F – blischalk