Microsoft反跨站点脚本库

我正在评估Microsoft反跨站点脚本库(AntiXSS V3)

我不得不说,在我看来,除了提供更全面的可接受字符的白名单之外,它并没有真正为聚会带来任何东西,一个编码所有用户/代理可修改输出的勤奋程序员无论如何都不会做.

我错过了一招吗？

我不认为你错过任何东西,除了知道正确安全编码的程序员数量非常少,能够做得恰到好处的程序员数量更少.

编写这些库是为了让普通开发人员更容易,我认为任何由Microsoft编写的明确旨在增强安全性的库都将由该领域的专家(或编码人员团队)完成. ,而不是那些专注于公司需求的日常开发人员.(我认为他们会非常重视正确的做法,考虑到微软的产品总是被描绘为MS-haters的"不安全")

作为并行,考虑加密.勤奋的编码器可以提出安全的加密算法.但是,OWASP指南告诉您不要提出自己的算法,而是使用由专家开发并经过充分测试的测试算法.

如果我们有专家的工具为它完成工作,为什么我们会尝试自己做？我会说,仅仅因为这个原因,使用Microsoft Anti-Cross Site Scripting Library会很好,如果它像宣传的那样工作.