xss相关内容

角$ SCE VS HTML外部环境文件

有关的一个问题 NG-绑定-HTML ，而从升级的1.0.8角应用1.2.8： 我已经存储在一个名为 en_GB.json ， fr_FR.json 文件的语言环境字符串，等等。到目前为止，我已经允许的区域设置字符串中使用HTML来让团队编写本地化的内容应用基本样式或添加内联锚标记。这将导致在下面的例子中的JSON { “changesLater”：“＆LT;强＆GT;不要忘记＆LT; ..

发布时间：2016-04-11 20:20:59 javascript angularjs xss 前端开发

angularjs +跨站点脚本preventing

时Angularjs发生XSS攻击的照顾。我已阅读，NG绑定照顾。但是，当我尝试做一个样品来测试，它可以让我在NG-模型的输入型插入html标签......也没有逃过的HTML标记。 我有很多的投入要素在我们的页面，这与NG-模型结合，我应该怎么做，以确保如果我输入html标签，角忽略HTML /纸条标记。 恩。 ＆LT;输入ID =“名称”NG模型=“名”与GT;＆LT; /输入＆GT; ..

发布时间：2016-04-07 22:12:44 angularjs xss cross-site JavaScript

Android应用程序使用web视图/ JavaScript的。有什么方法可以安全问题？

我使用 web视图和 Javascript的制作 addJavascriptInterface（真正创造一个Android的Web应用程序）。 我的应用程序将内容数据（HTML），将被从外部站点加载。 我担心的跨站脚本XSS /我的应用程序的安全性的，因为我使addJavascriptInterface（真）。 什么事情，我应该照顾，使任何恶意code不应该在我的应用程序运行？ 解决方案 ..

发布时间：2015-12-01 22:54:32 javascript android webview xss malware 移动开发

如何开始使用别人的API做一个小的跨站点脚本AJAX？

比方说，我想用这个API： http://hiveminder.com/help/reference /API.html 指令穿行通过它的使用。 curl命令行工具，这我不熟悉。我想通过一个简单的脚本访问此API在自己的网页。有哪些步骤，我需要做到这一点？ 记住它已经多年，因为我已经做过了这一点。 解决方案 由于跨站点的请求不能从客户机完成的，需要将它们从服务器发起。我个人不熟悉Hivemi ..

发布时间：2015-11-30 01:42:31 javascript ajax api xss 前端开发

为什么跨域AJAX请求打成＆QUOT;安全风险和QUOT;？

在默认情况下，浏览器不允许跨站点AJAX请求。 据我所知，严重设想跨域请求的可以的是一个安全隐患。如果我参加了HTML或外部网站的JavaScript和刚刚“渲染”到我的网站，这是一个问题。外部code可以用于很多不好的事情 - 就像获得访问当前用户的会话数据 但是，如果我只请求JSON或XML数据，我用一个适当的库来解析JSON（而不仅仅是使用EVAL）我怎么也想不到，这将是一个安全隐患。可 ..

发布时间：2015-11-30 00:42:08 javascript ajax json cross-domain xss 前端开发

有关使XHR请求问题

我不知道为什么，但我还没有真正能够找到合适的资源，这可以帮助我了解这里的最佳做法，但说我有一个应用程序，我想打一个Ajax请求到另一个应用程序。 说应用程序中的域名为： www.example.com ，我想提出一个请求 www.someapplication.com 我可以做这样的事情？ （jQuery的在这种情况下） $。阿贾克斯（{ 网址：“http://www.someappl ..

发布时间：2015-11-29 23:59:55 javascript ajax xss 前端开发

从本地JavaScript的code到远程服务器AJAX调用

时有可能使AJAX的呼叫从本地的HTML / JS文件（例如，使用jQuery.ajax（））（例如文件：//home/a.html）到远程服务器（如的 HTTP：//域名：8080 / API ）？如果是，如何使这些XSS（例如，在FF3）？ 我想这是一些浏览器的安全设置，但无法找到哪些。 和假设有没有任何服务器端更改答案（如JSONP）。 感谢。 code片断： 函数foo（）{ ..

发布时间：2015-11-29 23:45:36 javascript ajax xss 前端开发

如何连接code JSON / Ajax响应的XSS？

我有一个ASP.NET MVC2网站，使用Ajax和JSON巨资从数据库中读取数据，然后填入HTML。我希望能够EN code JSON对象，使其呈现任何HTML文本，而不是HTML。我很惊讶地发现没什么讨论/对这种明显的解决方案，这似乎是一个很大的潜在的XSS问题。 我俯瞰的东西，有一个简单的方法来做到这一点？或者，我需要拿出一个内部的解决方案呢？如果我这样做我自己，我应该做的模型，在控制器上 ..

发布时间：2015-11-29 23:30:42 jquery asp.net-mvc ajax json xss 前端开发

是jQuery的$。获得（）安全不受信任的URL打电话？

我最近才知道，jQuery的 $。的getJSON（）是很不安全呼吁不受信任的网址。那么 $。获得（）？是jQuery的 $。获得（）安全的，当URL参数来自不受信任的来源，或者是这个不安全的称呼？ 这想出了一个安全code审查我正在做，检查XSS漏洞。例如code模式： $。获得（URL，函数（...）{...}） 这是否code模式创建一个XSS漏洞，如果攻击者选择网​​址恶意？ ..

发布时间：2015-11-29 22:55:58 jquery ajax json security xss 前端开发

从IFRAME复制HTML内容转换成格（AJAX）？

让我们假设我有我的浏览器加载使用＆其中一个IFRAME，IFRAME SRC =“test.html的”＆GT; 我可以使用AJAX，加载test.html中的内容到主HTML页面中的DIV？ 这想法是我为事实，我其实是想克服使得AJAX提交到远程主机的限制的解决方案。该计划是与0大小的iframe，这使得报告请求到远程主机生成动态页面。然后，该页面（安培; iframe的内容）加载后我会复制 ..

发布时间：2015-11-29 15:14:27 javascript ajax iframe xss 前端开发

跨域资源共享（CORS） - 我失去了一些东西呢？

我在阅​​读有关 CORS ，我想实现是既简单又有效的。 不过，除非我失去了一些东西，我觉得有很大一部分从规范缺失。据我了解，这是国外网站的决定，根据请求（任选包括凭证）的来源，是否允许访问其资源。这是好的。 但如果在页面上的恶意code要发布一个用户的敏感信息提供给外国的网站是什么？外国网站显然会验证请求。因此，再次，如果我不是失去了一些东西，CORS其实可以更容易窃取敏感信息。 我认为这 ..

发布时间：2015-11-29 01:02:35 javascript ajax xss xmlhttprequest cors 前端开发

跨域XMLHtt prequest不工作​​在Chrome封装应用尽管拥有权限的网址

我有一个类似的问题对SO，。但是，所选择的答案是不是为我工作。我有我试图请求列入清单的权限的URL。我有一种感觉，这有做跨站点脚本prevention，正如我在跨域XMLHtt $阅读p $ pquest 和嵌入内容文档的浏览器。 当我检查响应，一切都空了，状态没有 code，没有响应，没有状态文本，就像试图让跨域请求在XSS时，在此等问题看到发生了什么，：的从XMLHtt prequest 空 ..

发布时间：2015-11-28 23:59:26 javascript ajax google-chrome xss google-chrome-app 前端开发

为什么浏览器都有相同来源政策时，像JSONP和CORS解决方法存在吗？

这个问题是怎么样的一个重复的：为什么同源策略对于XMLHtt prequest 然而，这个答案是不能令人满意，因为它没有解决的事实，有变通方法（如在问题注明）。答案只针对直接向XMLHtt prequest有关的安全问题，但这些问题仍然是present与JSONP（也可能是CORS，不知道）。因此，问题仍然存在 - 为什么有严格的同源策略时也有类似的解决方法是JSONP可以说的更糟糕（因为它是可 ..

发布时间：2015-11-28 23:55:31 ajax security jsonp cors xss 前端开发

为什么AJAX请求仅限于同一域？

东西，我觉得真的很困惑，是为什么AJAX请求仅限于同一域？什么是推理背后？ 我看不出有什么问题，请求来自外部位置的文件，服务器也使得XMLHTTP请求似乎GET和POST到外部位置就好了。 解决方案 想像一下： 您来我的神话般的网站www.halfnakedgirls.com。你玩得开心看似乎对人体生理技术文档，但在你的背后，一些JavaScript的线路正在执行一些请求到另一个域，让我们 ..

发布时间：2015-11-28 22:42:26 javascript ajax xss same-origin-policy 前端开发

访问受限制的URI被拒绝code：1012

你怎么解决这个Ajax的跨站点脚本问题得到Firefox 3的？ 解决方案 如果您正在使用jQuery它有一个回调函数来解决这个问题： 在jQuery 1.2中，可以加载JSON 位于如果另一个域数据 指定JSONP回调，它可以是 像这样做：“myurl回调=？”。 jQuery将自动替换？ 与调用正确的方法名， 调用你指定的回调。要么， 如果将数据类型设置为“JSONP”一 回调函数会 ..

发布时间：2015-11-28 22:22:26 javascript jquery ajax xss 前端开发

跨站点XMLHtt prequest

我想提供一段JavaScript code，将工作位置时包括任何网站，但它总是需要获得其中的Javascript托管在服务器上更多的数据（甚至修改数据）。我知道有显而易见的原因，到位的安全限制。 请考虑的index.html托管在含xyz.com如下： ＆LT;脚本类型=“文/ JavaScript的”SRC =“htt​​p://abc.com/some.js”＆GT;＆LT; / SCRI ..

发布时间：2015-11-28 21:43:18 javascript ajax xmlhttprequest xss 前端开发

跨站点AJAX请求

我需要从一个网站一个Ajax请求托管在另一个域中的REST Web服务。 尽管这是在Internet Explorer中工作得很好，其他浏览器如Mozilla和谷歌浏览处以更加严格的安全限制，其中规定禁止跨站点AJAX请求。 现在的问题是，我有过的领域，也没有在那里的网站托管Web服务器的控制。这意味着，我的REST Web服务必须运行在其他地方，我不能到位任何重定向机制。 下面是JavaS ..

发布时间：2015-11-28 21:34:53 javascript ajax security xss 前端开发

为什么跨域Ajax是一个安全问题？

为什么它决定使用的 XMLHTT prequest 做XML调用不应该做横跨域边界电话？您可以检索JavaScript，图片，CSS，内部框架，以及几乎任何其他内容我能想到的其他领域。为什么Ajax的HTTP请求不准穿越域边界？这似乎是一个奇怪的限制放，考虑到我可以看到它被滥用，将是如果有人要注入的Javascript到页面的唯一途径。然而，在这种情况下，可以简单地增加一个img，脚本或ifram ..

发布时间：2015-11-28 21:32:32 ajax security xss 前端开发

禁用XSS和HTML清理用Rails 3

我有一个问题，当我有我的富文本编辑器中的内容保存到使用ActiveRecord的HTML内容被剥离的HTML内容数据库（我认为它激发html_safe就可以了）。我试图重写的内容串html_safe方法，但没有任何工程。 CONTENT =“＆LT; P＆GT;你好＆LT; / P＆gt;”中 @ article.content =内容 把@ article.content＃“＆其中p为H.; ..

发布时间：2015-11-28 19:25:56 ruby-on-rails ruby-on-rails-3 activerecord xss 高性能数据库开发

为什么不是ValidateRequest =＆QUOT;真＆QUOT;够XSS prevention？

在第1步中的“如何调：prevent跨站点脚本ASP.NET“该是说，你应该”不依赖于ASP.NET请求验证。把它当作除了你自己输入验证一个额外的precautionary措施。“ 为什么不是足够？ 解决方案 就在两个提示： 您的应用程序可能会输出使用ASP.NET表单被输入的不仅是数据。想想Web服务，RSS源，其他数据库，信息来自用户上传的提取等。 有时需要禁用默认的（有效的，但 ..

发布时间：2015-11-26 21:09:03 c# .net asp.net xss C#/.NET