javascript-injection相关内容
我最近一直在研究 Pagedown.js,因为它可以在我的页面上使用 Mark-down 而不是丑陋的只读文本区域. 我非常谨慎,因为它似乎很容易欺骗经过消毒的转换器.我看到了一些关于 Angular.js 的讨论,它是 html 绑定,并且在 Knockout.js 3.0 出现时也听说过一些关于 html 绑定的不安全性. 似乎有人需要做的就是在 Pagedown.js 中禁用消毒
..
如何防止 JavaScript NoSQL 注入 MongoDB? 我正在开发一个 Node.js 应用程序,我正在将 req.body(一个 json 对象)传递到 mongoose 模型的保存函数中.我以为幕后有保护措施,但事实并非如此. 解决方案 注意我的答案是不正确的.请参考其他答案. -- 当客户端程序在 MongoDB 中组装查询时,它会构建一个 BSON 对
..
我有这种脚本需要注入 !功能(e){函数 doSomething(){}} 基本上,当我的代码通过Function 对象调用时,我得到了对doSomething 的引用,但我需要挂钩到doSomething,因此我需要对id 的原始引用.由于 doSomething 是在匿名函数中声明的,因此我无法访问它.问题是,我能否以某种方式将代码注入匿名函数、Greesemonkey 或任何其他工具的范
..
我已经编写了一个微型模板实用程序,该实用程序可以根据用户输入(纯文本字符串或html字符串)使用innerHTML在网页中注入html片段. 我主要担心的是恶意脚本注入的风险.可以通过脚本标签或在嵌入式事件(例如img onload,div onmouseover)中插入脚本. 有没有办法清理html字符串以防止此类注入?另外,还有其他我应该注意的脚本注入方法吗? 解决方案 如
..
我阅读了有关小书签的文章这说明小书签功能如此强大,可能会很危险.例如,恶意的书签可以收集您的"cookie","localStorage"和密码输入框中的字符串,然后将其发送到远程服务器,类似于“脚本注入". 我对此很好奇.自从这篇文章写于2007年(八年前)以来,书签(以及浏览器插件)在提高现代浏览器的安全性方面是否有任何限制? 解决方案 书签是由用户运行的脚本.是的,它们可以完成
..
我在wordpress上的博客中注入了以下恶意脚本: eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(
..
我已经开始开发浏览器扩展.我注意到一个常见的概念是该扩展程序可以将JS代码注入当前的浏览器选项卡. 我不知道这怎么不会定期引起问题. 我的意思是,如果我在已经包含y版本y的页面中(通过浏览器扩展)注入y版本的jquery,那怎么办? $()函数不会有冲突吗? 如何顺利进行?开发人员是否应该采用任何特殊的技术来确保不会发生此类冲突,或者浏览器可以处理所有事情? 解决方案 虽
..
我想从Android的网页中提取一些东西.我知道有一些库可以解析HTML,但是我想也许我可以作弊. 这就是我在做什么. 使用应用程序上下文以编程方式创建WebView,因此不必在UI中显示它. 加载网页 附加JS接口 注入一些Javascript与主机应用程序进行交互 这是一些代码... public void getLatestVersion(){
..
我看到我的nopCommerce网站记录了以下内容的搜索: ADw-script AD4-alert(202) ADw-/script AD4- 尽管他们想完成什么,但我有点好奇.我搜索了一下,似乎ADw-script AD4-用UTF7编码为.但是为什么alert(202)? 他们只是在检查漏洞吗? 记录了更多的黑客攻击尝试,我在这里提出了一个关于它们的新问
..
我需要注入这种脚本 ! function(e) { function doSomething() { } } 基本上,当我通过Function对象调用我的代码时,我得到了对doSomething的引用,但是我需要与doSomething挂钩,因此我需要对id的原始引用.由于doSomething是在匿名函数中声明的,所以我无法理解它.问题是,我可以以某种方式将代码
..
我正在使用Selenium python Webdriver来浏览某些页面.我想在加载和执行任何其他Javascript代码之前将javascript代码注入页面.另一方面,我需要将我的JS代码作为该页面的第一个JS代码执行.硒有办法做到这一点吗? 我用谷歌搜索了几个小时,但是找不到合适的答案! 解决方案 如果无法修改页面内容,则可以使用代理或在浏览器中安装的扩展程序中使用内容脚本.
..
如何防止将JavaScript NoSQL注入MongoDB? 我正在开发Node.js应用程序,并且正在将作为json对象的req.body传递到猫鼬模型的save函数中.我以为幕后有保障措施,但事实并非如此. 解决方案 注意 我的答案不正确.请参考其他答案. - 当客户端程序在MongoDB中组装查询时,它会构建一个BSON对象, 不是字符串.因此,传统的SQL注入攻
..
任何人都知道一个好的库,在插入字符串之前,我可以在其中运行这些字符串,这样可以去除sql/javascript代码?要在jsp页面中运行. 理想的库是: 免费 轻巧 易于使用 提前感谢SO社区,他们会很乐意答复:) 解决方案 Apache Commons lang StringEscapeUtils将为您提供一些帮助.它会逃脱,不会剥离. http://comm
..
一些谷歌广告开始在整个屏幕上注入JavaScript和弹出广告 如何阻止通过谷歌广告注入的这些随机脚本? 解决方案 这不完美,但在我的情况下似乎非常有效(所有页面都是SSL)并且还会阻止由SSL引起的SSL混合模式消息谷歌广告第三方插件脚本...
..
在PHP Web应用程序中阻止或阻止JavaScript注入所需的措施是什么,以便不提供敏感信息(PHP,HTML / XHTML和JavaScript中的最佳实践)? 解决方案 好的第一步是应用问题Gert G链接。这详细介绍了可以在不同情况下用于清理输入的各种函数,包括 mysql_real_escape_string , htmlentities(), htmlspecialchar
..
我遇到了解决这个问题的问题。我首先尝试将脚本标记设置为字符串,然后使用jquery replaceWith()在页面加载后将它们添加到文档中: var a ='这里的一些脚本'; $('#someelement')。replaceWith(a); 但是我在该var上得到了字符串
..
我正在尝试注入一个本地CSS文件来覆盖网页的样式。该网页显示在iOS中的 UIWebView 容器中。但是我无法让我的代码工作。请参阅下面的委托方法的片段。此代码运行(我可以看到 NSLog 消息),但我没有在页面上看到它的执行结果。 我知道它不能是我写的CSS,因为在这种情况下我把页面自己的CSS文件改成了一些颜色。 (为了测试这种方法) - (void)webViewDidFi
..
我试图以编程方式插入js文件,使用jquery和类似的东西: var script = document.createElement( 'script'); script.type ='text / javascript'; script.src ='http://someurl/test.js'; $('body')。append(script); 如果te
..
假设我有一个带有输入框的页面。用户在输入框中输入内容并点击按钮。该按钮会触发一个函数,该函数会将输入到文本框中的值输出到文本框下面的页面中,无论出于何种原因。 现在这已经非常困难了找到一个明确的答案或我不会问,但你会怎么去输出这个字符串: 既
..
有很多关于SO的问题与此类似,但是他们都没有解决我的目的。 我正在创建一个像chrome扩展那样的'pinterest'。它在网页上注入脚本,收集图像并将其发布到某处。一切工作都很完美,但是当我在pinterest上运行它时,它给了我这个错误: lockquote blockquote 拒绝加载脚本' https://domain_name.com/my_script.js '
..