Von Microsoft gibt es eine Anti-Cross Site Scripting Library derzeit in der Version 3.1. Diese kann man unter der folgenden Adresse herunterladen:
http://www.microsoft.com/downloads/details.aspx?familyid=051EE83C-5CCF-48ED-8463-02F56A6BFC09&displaylang=en
Die DLL-Datei “AntiXSSLibrary.dll” muss man in den bin-Ordner des ASP.NET Projektes legen und schon hat man die Methoden der Anti-Cross Site Scripting Library zur Verfügung.
Unter dem Namespace Microsoft.Security.Application kann man auf die AntiXss Klasse und deren Methoden zugreifen.
Die Methode Server.HtmlEncode encodiert nur die Zeichen < > “ und &. Die Library AntiXss dagegen stellt für das Encodieren mehrere und speziellere Methoden zur Verfügung:
HtmlAttributeEncode()
HtmlEncode()
JavaScriptEncode()
UrlEncode()
VisualBasicScriptEncode()
XmlAttributeEncode()
XmlEncode()
Hier ein einfaches Beispiel:
<%@ Page Language="C#" ValidateRequest="false" %>
<script runat="server">
protected void Button1_Click(object sender, EventArgs e)
{
string eingabe = Microsoft.Security.Application.AntiXss.HtmlEncode(TextBox1.Text);
Label1.Text = eingabe;
}
</script>
<html>
<head runat="server">
<title>Untitled Page</title>
</head>
<body>
<form id="Form1" runat="server">
<div>
<asp:TextBox ID="TextBox1" runat="server"></asp:TextBox>
<asp:Button ID="Button1" runat="server" Text="speichern"
onclick="Button1_Click" />
<br />
<asp:Label runat="server" id="Label1"></asp:Label>
</div>
</form>
</body>
</html>
Beispiele der Encodierung:
<script>alert(‘hallo’);</script>
- wird mit HtmlEncode() zu:
”<script>alert(‘hallo’);</script>”
- dagegen mit JavaScriptEncode() zu:
”'\x3cscript\x3ealert\x28\u2018hallo\u2019\x29\x3b\x3c\x2fscript\x3e'”