反XSS库-与ASP .Net网站一起使用(相对于web应用)？

Question

安全审计结果显示，我们的站点可能容易受到XSS攻击。目前，我们对此的唯一保护是在所有页面上使用默认的ValidateRequest="true“。我一直在查看微软的防XSS库，在观看了这段视频之后，我希望实现安全运行时引擎模块来保护所有页面，而不是手动编码每个单独的项这段视频。

我遇到的问题是使用SRE配置生成器生成antixssmodule.config文件。它正在寻找一个程序集，但是我们的站点是使用一个网站项目而不是一个Web应用程序项目构建的，并且没有被构建成一个程序集。我是否仍然能够以某种方式生成配置文件，以便我可以使用SRE，或者这个文件有一个可下载的版本，并且已经定义了常用的利用控件？

[1]我也不能使用CAT.NET工具来发现所有可能的漏洞，因为该工具也在寻找程序集。

Answer 1

基本上没有，你不能生成没有目标程序集，所以网站项目将无法工作。当然，您可以使用默认的web.config来获取所有的Microsoft控件(我相信)。

然而，SRE是作为一个补丁围绕易受攻击的网站，直到你能得到它们的修复，这不是一个永久的解决方案。更好的方法是解决根本问题，并确保在将所有不受信任的输入编码到浏览器之前。