Web Log di Raffaele Rialdi

posts - 504, comments - 1654, trackbacks - 139

My Links

News

Post Categories

Image Galleries

Blogs

Microsoft Anti-Cross Site Scripting Library V1.0

Kevin Lam dell'ACE Security Services Team la settimana scorsa mi ha fatto fare una rapidissima beta di una nuova libreria Anti Cross Site Stripting che è appena stata rilasciata.

Al momento la libreria è solo per il framework 2.0 ma presto saranno disponibili anche le librerie per la 1.0 e 1.1.

Tanto semplice quanto efficace e performante, questa nuova libreria offre un paio di metodi UrlEncode e HtmlEncode che si possono usare come sostituti degli omonimi metodi di HttpUtility.

Se quindi sviluppate per il web, fatevi sotto e usatela. Le novità ovviamente non si fermano qui. Altro ha da venire...

Print | posted on lunedì 27 febbraio 2006 22.36 |

Feedback

# re: Microsoft Anti-Cross Site Scripting Library V1.0

Settimana scorsa l'avevo scaricata e provata.
Ma non mi e' molto ben chiara la differenza fra usare questi metodi e gli originali in HttpUtility. Non c'era alcuna documentazione.

27/02/2006 23.54 | Michele Bersani

# re: Microsoft Anti-Cross Site Scripting Library V1.0

Michele prova a dare un'occhiata con Reflector, sia a System.Web.HttpUtility sia a Microsoft.Security.Application.AntiXSSLibrary. L'implementazione sembra piuttosto differente. Non ci giurerei, ma se hanno fatto una librerira apposta per un centinaio di linee di codice (DLL minuscola!), mi sa che ci hanno studiato bene sopra e si sono accorti che questa implementazione è più sicura... Raffaele, è così?

28/02/2006 3.01 | Andrea Sansottera

# re: Microsoft Anti-Cross Site Scripting Library V1.0

Michele, ho aspettato a bloggare non appena Kevin mi ha dato il via perché ha fatto recentemente delle modifiche.

Per quanto concerne la documentazione confermo quanto detto da Andrea e cioè che si usa in modo identico ai metodi di HttpUtility e che questa libreria fa dei controlli più serrati.

28/02/2006 22.53 | Raffaele Rialdi

# re: Microsoft Anti-Cross Site Scripting Library V1.0

Ah ottimo, ha modificato la documentazione adesso.
Praticamente in parole povere, la HttpUtility esclude (encode) tutti i caratteri non permessi ("black-list").
Mentre questa libreria include solo i caratteri permessi e codifica tutto il resto ("white-list").
Quindi maggiore sicurezza ma probabilmente piu' lenta.

01/03/2006 0.32 | Michele Bersani

# re: Microsoft Anti-Cross Site Scripting Library V1.0

Chiedo scusa, arrivo un po' tardi ma ci provo lo stesso...
Qualcuno sa dirmi come tornare indietro, ovvero una volta che ho fatto l'encode come faccio l'unencode per recuperare il testo corretto?

27/09/2007 0.14 | Marco Cavallo