Microsoft反跨站点脚本库

Question

我正在评估Microsoft反跨站点脚本库(AntiXSS V3)

我不得不说，在我看来，除了提供一个更全面的可接受字符白名单之外，它并没有真正给聚会带来任何东西，一个勤奋的程序员编码了他所有的用户/代理可修改输出，无论如何都不会做任何事情。

我是不是漏掉了什么把戏？

Answer 1

我认为你没有遗漏任何东西，除了知道正确安全编码的程序员数量非常少，而那些能够正确执行的程序员更是少之又少。

编写这些库是为了简化普通开发人员的工作，我假设Microsoft编写的任何旨在增强安全性的库都是由该领域的专家编写的，而不是由专注于公司需求的普通开发人员完成的。(我认为他们会非常重视这一点，考虑到微软的产品总是被那些讨厌微软的人描绘成“不安全”)

作为对比，考虑一下加密。一个勤奋的程序员可以想出一个安全的加密算法。然而，OWASP指南告诉您不要提出自己的算法，而是使用由专家开发的经过测试的算法。

如果我们有一个由专家提供的工具来完成这项工作，为什么我们要自己去做呢？我要说的是，如果微软反跨站脚本库像广告中所说的那样工作，那么仅出于这个原因，使用它就会很好。