- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我看到网络保护库 (WPL) 带有 2 个不同的选项:
第一个看起来很棒,因为不需要代码,它是一个 HTTPModule。第二种需要在代码中手动添加转义逻辑。
尽管我提到了这个优势,但 SRE 并不是很流行,我想知道为什么。这个库是否存在任何已知问题,或者我没有发现使用 AntiXSS 的任何重大优势?
谢谢!
最佳答案
我在 SRE 中看到的最大缺陷是在我看来它依赖于“黑名单”行为。例如,它会尝试检测 SQL 语句以提供 SQL 注入(inject)保护。黑名单很薄弱,仅仅是因为您必须知道所有潜在有害的输入才能提供 100% 的保护。
http://www.owasp.org/index.php/Data_Validation#Data_Validation_Strategies
这并不是说我看不到 SRE 的任何值(value)。我认为它看起来像是一个不错的工具,可以放在您的武器库中,但它应该被视为附加 防御层。
我看到使用这个库的唯一其他缺点是它可能会鼓励编码人员懒于学习如何保护他们的应用程序。依靠任何单独的工具来提供保护(或者甚至是一堆工具来提供保护)充其量是愚蠢的。程序员很容易无意中引入阻碍最佳工具的安全漏洞。因此,一个关心安全性的优秀开发人员不会依赖这样的工具,但无论如何都会进行转义,而不是相信一个工具会为他们做这件事。
换句话说,这看起来是一个很好用的工具,但不能以自己采取预防措施为代价。而已经知道如何防御常见网络攻击的程序员通常都足够聪明,知道不能仅仅依赖一种工具。他们也可能已经进行了防御性编码,如果您已经在防止 SQL 注入(inject),那么添加一个执行相同操作的模块似乎是多余的。我敢猜测,这就是人气不高的原因。
另一方面要注意的是,它提供的功能类似于您在优秀的 Web 应用程序防火墙 (WAF) 中找到的功能。它存在相同的基本缺陷。这是一本很好的读物,解释了为什么 WAF 还不够,它也回答了为什么 SRE 还不够,以及为什么我们不依赖它。
关于c# - 安全运行时引擎 VS AntiXSS 库,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5034586/
以下代码: if (!(ep = engOpen("\0"))) { fprintf(stderr, "\nCan't start MATLAB engine\n");
我在谈论一些网络事物,例如 http://uservoice.com/ 你能推荐任何其他类似的服务、网站,或者可能是(甚至更好)一个现成的引擎来部署在自己的服务器上? 实际上,更多关于系统的问题,可以
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
我正在寻找一个矩阵表达式解析器/引擎。例如, 3 * A + B * C 其中 A、B、C 是矩阵是一个典型的表达式。这应该类似于(单值)数学表达式解析器/引擎,但应该处理矩阵值和变量。我已经用谷歌搜
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 想改进这个问题?将问题更新为 on-topic对于堆栈溢出。 5年前关闭。 Improve this qu
是否有基于 .net 的 cometd 引擎?比如 Ajax 推送引擎 那是免费和开源的吗? 最佳答案 轨道式 Orbited是一个 HTTP 守护进程,针对长期 cometd 连接进行了优化。它旨在
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。 我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题,以便
我正在寻找支持以下功能的 haml javascript“端口”: 存储在文件中的模板。 JSON 输入。 支持“集合”[{Booking},{Booking},{Booking}] 进行迭代处理。
我在 IronPython 中托管 IronPython。我没有找到使用等效的命令行参数初始化它的方法:-X:FullFrames . 我的代码有点像这样: import clr clr.AddRef
我想将我工作的公司的所有松散信息整合到一个知识库中。 Wiki 似乎是一种可行的方法,但大部分相关信息都隐藏在 PST 文件中,并且需要很长时间才能说服人们将他们的电子邮件(包括附件)手动翻译成 Wi
我已经使用缓存的 flutter 引擎 flutter 到现有的 native 应用程序(添加到应用程序)中。 override fun onCreate(savedInstanceState: Bu
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the he
我正在使用 Django Cassandra我已经定义了我的模型,我可以用它来命名一个表: class Meta: db_table = "table_name" 但是,Cassand
类似于 NoSQL 数据库,但适用于 OLAP。当然是开源的:) 编辑: OLAP 引擎在幕后使用关系数据库。例如 SAPBW 可以使用 Oracle 等。我的意思是一个没有这个底层关系数据库的 OL
我正在使用以下片段来 enable Razor templating in my solution (在 ASP.NET MVC3 之外)。是否可以轻松实现布局? 背景资料: 我在这一点上(模板编译成
我们目前使用闭源知识库解决方案,所见即所得创建文章是TinyMCE(看起来可能是修改/简化的)。 他们目前根本不允许更改它(添加插件等,除非您可以以某种方式注入(inject)插件)。 我确实拥有对
我正在评估我们的高性能电信应用程序的 BPEL 引擎,但性能似乎很差。我们评估了 Apache Ode、SunBPEL 引擎、Active BPEL 等。您知道任何更快的 BPEL 引擎实现或 C/C
Elastic / Lucene真的需要在文档中存储所有索引数据吗?您难道不就通过通过传递数据,以便Lucene may index the words into its hash table并为每个
我是 3D 游戏新手?我正在使用 Libgdx。如何计算像 Tetromino Revolution 游戏这样的透视相机的参数?请给我任何想法。 看图片:http://www.terminalstud
我是一名优秀的程序员,十分优秀!