我正在评估微软反跨站脚本库(AntiXSS V3)。
我必须说,除了提供更全面的可接受字符白名单之外,它似乎并没有为编写所有用户/代理可修改输出的勤奋程序员带来任何其他好处。
我是否漏掉了什么诀窍?
1个回答
5
我认为除了一个事实,即了解正确的安全编码的程序员数量非常少,而能够正确实现它的人更少,你没有错过任何东西。
这些库的编写是为了让普通开发人员的工作更加轻松。我认为,由微软编写的任何旨在增强安全性的库都是由专业领域的程序员(或团队)编写的,而不是专注于公司需求的每天开发人员。
考虑到 MS-haters 始终将 Microsoft 产品描述为“不安全”,我认为他们会认为这样做正确非常重要。
类比一下加密。勤奋的程序员可以提出一个安全的加密算法。然而,OWASP 指南告诉您不要自己设计算法,而是使用由专家开发和经过充分测试的已测试算法。
如果我们有专家工具来完成工作,为什么我们要自己试图做到这一点呢?我认为,仅出于这个原因,如果它的功能符合广告中描述的那样,就应该使用 Microsoft 防跨站点脚本库。
这些库的编写是为了让普通开发人员的工作更加轻松。我认为,由微软编写的任何旨在增强安全性的库都是由专业领域的程序员(或团队)编写的,而不是专注于公司需求的每天开发人员。
考虑到 MS-haters 始终将 Microsoft 产品描述为“不安全”,我认为他们会认为这样做正确非常重要。
类比一下加密。勤奋的程序员可以提出一个安全的加密算法。然而,OWASP 指南告诉您不要自己设计算法,而是使用由专家开发和经过充分测试的已测试算法。
如果我们有专家工具来完成工作,为什么我们要自己试图做到这一点呢?我认为,仅出于这个原因,如果它的功能符合广告中描述的那样,就应该使用 Microsoft 防跨站点脚本库。
- David
1
1它由经过深思熟虑的专家编写,这一点是很好的,可能使其值得。另一方面,仍然没有办法强制人们在他们的代码中实际调用它,如果这可以内置到.NET中,那就太好了。 - AJM
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接