xss相关内容

使用危险的安全方法在我的Reaction SharePoint现代Web部件中使用SetInnerHTML

我正在尝试构建一个React.js SharePoint现代Web部件,它具有以下功能:- 在Web部件设置页>;>;内有两个名为“我们是谁”的域,用户可以在这两个域中输入我们的值。 该Web部件将呈现2个按钮&我们是谁&我们的价值;当用户单击任何按钮时,将显示一个弹出式窗口,其中包含在第1步中输入的HTML代码 如下:- 但是,为了能够在Web部件中以Rich-T ..
发布时间:2022-04-08 20:57:38 前端开发

如何将Buefy的对话框组件与用户提供的内容一起使用,并确保XSS的安全性

Buefy的对话框组件需要message属性字符串。根据一份文档,该字符串可以包含HTML。我希望在字符串中使用模板值,但当然这应该是XSS安全的。 当前不安全示例 这是不安全的,因为this.name不安全。我可以使用NPM包对名称进行html编码,但我真的更喜欢使用Vue。 import Vue from 'vue'; export d ..
发布时间:2022-04-08 20:55:56 前端开发

在Golang实施XSS保护

我正在使用Golang构造一个API REST。我有一个包含许多字段(超过100个)的结构,因此我使用gorilla/schema将来自客户端的值赋给该结构,这非常好用。 现在,我想避免用户在任何字符串字段中插入Java代码,在我定义的结构中,我已经定义了bool、字符串、byte[]和int值。所以,现在我想知道验证这一点的最好方法是什么。 我正在考虑只对字符串字段中的结构感兴趣,并使其 ..
发布时间:2022-04-08 20:54:31 其他开发

防止XSS攻击

我正在创建一个网页,用户可以在其中交互并在远程计算机上执行基本的文件系统操作(创建文件/目录、删除文件/目录、导航文件系统)。 该网页是基本的超文本标记语言(UTF-8编码)和脚本。我需要使此网页具有XSS证明。 使用Java脚本(这将输出百分比编码的十六进制值)转义用户输入中的所有非字母数字字符(以防止基于DOM的XSS)和文件名信息(以防止存储的XSS)是否足够? 我基本上只将字母 ..
发布时间:2022-04-08 20:48:57 其他开发

如果“数据目标"是 Bootstrap 3.3.7 安全可靠的?属性未使用?

Bootstrap 3.3 存在一个安全漏洞.7.它说“此软件包的受影响版本容易受到通过 data-target 属性的跨站点脚本 (XSS) 攻击."我想知道如果不使用“data-target"属性,v3.3.7 是否可以安全使用. 解决方案 只有在 data-target 值依赖于由外部(直接或间接)AND 显示在攻击者以外的其他用户受到影响的页面上. 换句话说,如果您的所有 d ..
发布时间:2022-01-19 12:53:25 其他开发

阻止 xss 但允许所有 html 标签

我正在建立一个博客,目前正在完成管理面板. 因为我将主要是管理它的人......我想确保在我输入时 测试 测试 会显示无序列表,但也会阻止 XSS 标签以防万一... 我该怎么做? 是否可以创建函数并替换 ul、ol、img 等标签...? 解决方案 您正在寻找的是 HTML sanitizer.这些很难正确编写,因此您应 ..
发布时间:2022-01-18 21:11:31 PHP

如何设置 Http 标头 X-XSS-Protection

我试着把这个: 在 标记中,但没有运气.我正在尝试摆脱讨厌的 IE,防止跨站点脚本 解决方案 我怀疑它只是一个元标记.您可能必须告诉您的网络服务器将其作为真正的标头发送. 在 PHP 中,你会这样做 header("X-XSS-Protection: 0"); 在 ..
发布时间:2022-01-17 17:31:30 其他开发

什么是 http-header “X-XSS-Protection"?

所以我现在一直在玩弄 HTTP 以在 telnet 中取乐(即只需输入 telnet google.com 80 并输入具有不同标头等的随机 GET 和 POST),但我遇到了 google.com 在其标头中传输的一些我不知道的内容. 我一直在浏览 http://www.w3.org/Protocols/rfc2616/rfc2616.html 并没有找到谷歌似乎喷出的这个特定 http- ..
发布时间:2022-01-17 16:58:50 其他开发

反 XSS 和经典 ASP

我目前正在尝试保护我的经典 ASP 应用程序免受 XSS 攻击.我在网上遇到了 Microsoft 的 AntiXSS,我想知道这是否适用于经典应用程序? 如果没有,您有任何想法我可以如何对字符串进行消毒吗? 解决方案 为了清理字符串,我将对所有输出进行 HTML 编码,这样您就不必再纠结于特殊字符或巨大的正则表达式了 Server.HTMLEncode(string) 防止跨站 ..
发布时间:2022-01-16 15:13:41 其他开发

有人可以向我解释一下这种 SQL 注入攻击吗?

我想在此处发布此内容,因为它与编码非常相关,并且是我本周必须在我公司的一个旧 ASP(经典)网站上清理的内容. 我们受到了几天前运行的 SQL 注入攻击的打击,但我摸不着头脑(通过这些 SQL 查询)对 SQL 服务器造成的“损害"到底是什么. 老实说,我认为执行此操作的方式非常巧妙,而我的公司有一个 10 年历史的旧网站,几乎没有经过净化处理. 攻击: 122 + DEC ..
发布时间:2022-01-16 15:11:25 其他开发

什么会导致 java 进程大大超过 Xmx 或 Xss 限制?

我有 7 个不同的 Java 守护程序,我在 3 个不同的服务器上运行(全部 7 个).java命令行有-Xmx2048m和-Xss1024k.在这 3 台服务器上,所有 21 个进程的顶部和顶部的 VIRT 大小均显示为略低于 2.5 GB.RES 大小从 300 GB 到 1.9 GB 不等,具体取决于它是哪个守护进程. 一切都应该如此. 输入新服务器.更快的 CPU,更多的 RA ..
发布时间:2022-01-16 12:37:51 Java开发

如何使用 JSONP 克服 XSS 问题?

我在码头服务器上执行了一段 javascript,该服务器正在向另一台服务器(wamp 服务器)上的 scoket 发送 XMLHTTPRequest.请求被发送到套接字,但是 XHR 响应似乎被阻塞了. 我听说我可以使用 JSONP 来解决这个问题.但是,由于我对 javascript 都很陌生,而且我从未使用过 JSONP 技术,在此之前我非常感谢有关如何使用这种技术的任何帮助? fu ..
发布时间:2022-01-15 21:31:21 前端开发

跨站 XMLHttpRequest

我想提供一段 Javascript 代码,它可以在包含它的任何网站上运行,但它总是需要在托管 Javascript 的服务器上获取更多数据(甚至修改数据).我知道出于显而易见的原因存在安全限制. 考虑在 xyz.com 上托管的 index.html,其中包含以下内容: ..
发布时间:2022-01-15 21:17:54 前端开发

IsValid() 是否可以防止 XSS?

是否使用 IsValid() 来验证电子邮件地址或 URL 格式可以防止 XSS?指定其他格式时是否否定XSS? 解决方案 有效的 URL 仍然可以包含攻击向量: #isValid("url", "http://www.mydomain.com/products/products.asp?productid=123; DROP TAB ..
发布时间:2022-01-09 14:48:39 其他开发

防止站点范围内的 XSS 攻击

我是 ColdFusion 的新手,所以我不确定是否有简单的方法可以做到这一点.我被指派在这个 CF 站点上修复站点范围内的 XSS 漏洞.不幸的是,有大量页面需要用户输入,几乎不可能进入并修改它们. 有没有办法(在 CF 或 JS 中)轻松防止整个站点的 XSS 攻击? 解决方案 我不想告诉你,但是 - XSS 是输出问题,不是输入问题.过滤/验证输入是额外的防御层,但它永远 ..
发布时间:2022-01-09 14:31:23 前端开发

在 Laravel 中如何以及在何处应用 XSS 保护?

我想知道 Laravel 如何(如果有的话)提供 XSS 保护.我在文档中找不到任何关于它的内容. 问题 我正在使用 Eloquent 的 create() 方法将数据插入数据库($fillable/$guarded 属性在模型中设置).事实证明,我可以在任何形式的文本输入中自由地输入这样的内容: alert('Hacking Sony in 3...2...') ..
发布时间:2022-01-08 08:38:02 PHP