Microsoft Anti-Cross Site Scripting Library

Question

j'évalue Microsoft Anti-Cross Site Scripting Library (AntiXSS V3)

Je dois dire qu'il me semble que, en dehors de fournir une liste blanche plus complète des caractères acceptables , ça n'apporte vraiment rien à la fête qu'un programmeur diligent qui encodait toute sa sortie modifiable utilisateur/agent ne ferait pas de toute façon.

Est-ce que je manque un truc?

Answer 1

Je ne pense pas qu'il vous manque quelque chose si ce n'est que le nombre de programmeurs qui connaissent le codage sécurisé est très petit, et ceux qui peuvent le faire correctement sont moins nombreux. Les bibliothèques sont écrites pour faciliter les choses pour votre développeur moyen, et je suppose que toute bibliothèque écrite par Microsoft dans le but exprès d'améliorer la sécurité serait faite par un codeur (ou une équipe de codeurs) qui sont experts dans le domaine, par opposition à votre développeur quotidien normal qui se concentre sur les besoins de leur entreprise. (Je pense qu'ils mettraient beaucoup d'importance à faire cela correctement, considérant que les produits Microsoft sont toujours peints comme étant "non sécurisés" par les ennemis du MS)

En parallèle, pensez au cryptage. Un codeur diligent pourrait proposer un algorithme de cryptage sécurisé. Cependant, les directives d'OWASP vous disent de ne pas proposer votre propre algorithme, mais d'utiliser des algorithmes testés développés par des experts et bien testés.

Si nous avons un outil par des experts qui fait le travail pour cela, pourquoi devrions-nous essayer de le faire nous-mêmes? Je dirais qu'il serait bon d'utiliser la bibliothèque de script Microsoft Anti-Cross Site pour cette seule raison, si cela fonctionne comme annoncé.