javascript-injection相关内容

客户端 HTML 清理的安全性如何?

我最近一直在研究 Pagedown.js,因为它可以在我的页面上使用 Mark-down 而不是丑陋的只读文本区域. 我非常谨慎,因为它似乎很容易欺骗经过消毒的转换器.我看到了一些关于 Angular.js 的讨论,它是 html 绑定,并且在 Knockout.js 3.0 出现时也听说过一些关于 html 绑定的不安全性. 似乎有人需要做的就是在 Pagedown.js 中禁用消毒 ..
发布时间:2021-12-29 20:47:45 前端开发

MongoDB 中的 JavaScript NoSQL 注入预防

如何防止 JavaScript NoSQL 注入 MongoDB? 我正在开发一个 Node.js 应用程序,我正在将 req.body(一个 json 对象)传递到 mongoose 模型的保存函数中.我以为幕后有保护措施,但事实并非如此. 解决方案 注意我的答案是不正确的.请参考其他答案. -- 当客户端程序在 MongoDB 中组装查询时,它会构建一个 BSON 对 ..
发布时间:2021-12-17 11:24:24 前端开发

将javascript代码注入匿名函数作用域

我有这种脚本需要注入 !功能(e){函数 doSomething(){}} 基本上,当我的代码通过Function 对象调用时,我得到了对doSomething 的引用,但我需要挂钩到doSomething,因此我需要对id 的原始引用.由于 doSomething 是在匿名函数中声明的,因此我无法访问它.问题是,我能否以某种方式将代码注入匿名函数、Greesemonkey 或任何其他工具的范 ..
发布时间:2021-11-10 23:33:45 前端开发

防止使用innerHTML注入脚本

我已经编写了一个微型模板实用程序,该实用程序可以根据用户输入(纯文本字符串或html字符串)使用innerHTML在网页中注入html片段. 我主要担心的是恶意脚本注入的风险.可以通过脚本标签或在嵌入式事件(例如img onload,div onmouseover)中插入脚本. 有没有办法清理html字符串以防止此类注入?另外,还有其他我应该注意的脚本注入方法吗? 解决方案 如 ..
发布时间:2021-05-16 18:36:21 前端开发

在现代浏览器中,JavaScript小书签是否有安全限制?

我阅读了有关小书签的文章这说明小书签功能如此强大,可能会很危险.例如,恶意的书签可以收集您的"cookie","localStorage"和密码输入框中的字符串,然后将其发送到远程服务器,类似于“脚本注入". 我对此很好奇.自从这篇文章写于2007年(八年前)以来,书签(以及浏览器插件)在提高现代浏览器的安全性方面是否有任何限制? 解决方案 书签是由用户运行的脚本.是的,它们可以完成 ..
发布时间:2020-06-26 20:38:07 前端开发

浏览器扩展:如何在页面中注入javascript代码而不会发生冲突?

我已经开始开发浏览器扩展.我注意到一个常见的概念是该扩展程序可以将JS代码注入当前的浏览器选项卡. 我不知道这怎么不会定期引起问题. 我的意思是,如果我在已经包含y版本y的页面中(通过浏览器扩展)注入y版本的jquery,那怎么办? $()函数不会有冲突吗? 如何顺利进行?开发人员是否应该采用任何特殊的技术来确保不会发生此类冲突,或者浏览器可以处理所有事情? 解决方案 虽 ..
发布时间:2020-06-26 20:38:01 前端开发

在WebView中注入Javascript桥

我想从Android的网页中提取一些东西.我知道有一些库可以解析HTML,但是我想也许我可以作弊. 这就是我在做什么. 使用应用程序上下文以编程方式创建WebView,因此不必在UI中显示它. 加载网页 附加JS接口 注入一些Javascript与主机应用程序进行交互 这是一些代码... public void getLatestVersion(){ ..
发布时间:2020-06-26 20:37:57 Java开发

尝试利用?

我看到我的nopCommerce网站记录了以下内容的搜索: ADw-script AD4-alert(202) ADw-/script AD4- 尽管他们想完成什么,但我有点好奇.我搜索了一下,似乎ADw-script AD4-用UTF7编码为.但是为什么alert(202)? 他们只是在检查漏洞吗? 记录了更多的黑客攻击尝试,我在这里提出了一个关于它们的新问 ..
发布时间:2020-06-26 20:37:50 前端开发

将javascript代码注入到匿名函数作用域中

我需要注入这种脚本 ! function(e) { function doSomething() { } } 基本上,当我通过Function对象调用我的代码时,我得到了对doSomething的引用,但是我需要与doSomething挂钩,因此我需要对id的原始引用.由于doSomething是在匿名函数中声明的,所以我无法理解它.问题是,我可以以某种方式将代码 ..
发布时间:2020-06-26 20:37:48 前端开发

Selenium:如何在加载/执行页面的任何其他脚本之前将Javascript插入/执行到页面中?

我正在使用Selenium python Webdriver来浏览某些页面.我想在加载和执行任何其他Javascript代码之前将javascript代码注入页面.另一方面,我需要将我的JS代码作为该页面的第一个JS代码执行.硒有办法做到这一点吗? 我用谷歌搜索了几个小时,但是找不到合适的答案! 解决方案 如果无法修改页面内容,则可以使用代理或在浏览器中安装的扩展程序中使用内容脚本. ..
发布时间:2020-06-26 20:37:43 前端开发

MongoDB中的JavaScript NoSQL注入预防

如何防止将JavaScript NoSQL注入MongoDB? 我正在开发Node.js应用程序,并且正在将作为json对象的req.body传递到猫鼬模型的save函数中.我以为幕后有保障措施,但事实并非如此. 解决方案 注意 我的答案不正确.请参考其他答案. - 当客户端程序在MongoDB中组装查询时,它会构建一个BSON对象, 不是字符串.因此,传统的SQL注入攻 ..
发布时间:2020-05-10 22:31:50 前端开发

库来保护Java/jsp的SQL/JavaScript注入

任何人都知道一个好的库,在插入字符串之前,我可以在其中运行这些字符串,这样可以去除sql/javascript代码?要在jsp页面中运行. 理想的库是: 免费 轻巧 易于使用 提前感谢SO社区,他们会很乐意答复:) 解决方案 Apache Commons lang StringEscapeUtils将为您提供一些帮助.它会逃脱,不会剥离. http://comm ..
发布时间:2020-04-23 09:16:56 Java开发

防止PHP Web应用程序中的JavaScript注入

在PHP Web应用程序中阻止或阻止JavaScript注入所需的措施是什么,以便不提供敏感信息(PHP,HTML / XHTML和JavaScript中的最佳实践)? 解决方案 好的第一步是应用问题Gert G链接。这详细介绍了可以在不同情况下用于清理输入的各种函数,包括 mysql_real_escape_string , htmlentities(), htmlspecialchar ..
发布时间:2019-05-24 17:16:56 PHP

使用JavaScript将CSS注入UIWebView

我正在尝试注入一个本地CSS文件来覆盖网页的样式。该网页显示在iOS中的 UIWebView 容器中。但是我无法让我的代码工作。请参阅下面的委托方法的片段。此代码运行(我可以看到 NSLog 消息),但我没有在页面上看到它的执行结果。 我知道它不能是我写的CSS,因为在这种情况下我把页面自己的CSS文件改成了一些颜色。 (为了测试这种方法) - (void)webViewDidFi ..
发布时间:2018-09-13 14:04:48 移动开发

在Javascript中防止HTML和脚本注入

假设我有一个带有输入框的页面。用户在输入框中输入内容并点击按钮。该按钮会触发一个函数,该函数会将输入到文本框中的值输出到文本框下面的页面中,无论出于何种原因。 现在这已经非常困难了找到一个明确的答案或我不会问,但你会怎么去输出这个字符串: 既 ..
发布时间:2018-06-15 10:09:47 前端开发

“拒绝加载脚本” Chrome扩展中的错误

有很多关于SO的问题与此类似,但是他们都没有解决我的目的。 我正在创建一个像chrome扩展那样的'pinterest'。它在网页上注入脚本,收集图像并将其发布到某处。一切工作都很完美,但是当我在pinterest上运行它时,它给了我这个错误: lockquote blockquote 拒绝加载脚本' https://domain_name.com/my_script.js ' ..
发布时间:2018-05-08 15:42:48 其他开发