xss相关内容

警告:清理不安全的样式值 url

我想在我的 Angular 2 应用程序的组件模板中设置 DIV 的背景图像.但是,我的控制台中不断收到以下警告,但没有得到预期的效果...我不确定动态 CSS 背景图像是否由于 Angular2 中的安全限制或我的 HTML 模板损坏而被阻止. 这是我在控制台中看到的警告(我已将 img url 更改为 /img/path/is/correct.png: 警告:清理不安全的样式值 url ..
发布时间:2021-12-02 20:24:47 其他开发

htmlspecialchars 和 mysql_real_escape_string 是否可以防止我的 PHP 代码被注入?

今天早些时候有人问了一个关于 网络应用中的输入验证策略. 在撰写本文时,最佳答案建议在 PHP 中仅使用 htmlspecialchars 和 mysql_real_escape_string. 我的问题是:这总是足够的吗?还有更多我们应该知道的吗?这些功能在哪里分解? 解决方案 当涉及到数据库查询时,总是尝试使用准备好的参数化查询.mysqli 和 PDO 库支持这一点.这比 ..
发布时间:2021-12-01 10:53:56 PHP

在 PHP 站点中避免 xss 攻击的最佳实践是什么

我对 PHP 进行了配置,以便打开魔术引号并关闭注册全局变量. 对于我输出的任何源自用户输入的内容,我都会尽我最大的努力始终调用 htmlentities(). 我偶尔也会在我的数据库中搜索在 xss 附件中使用的常用内容,例如... 我还应该做什么以及我如何确保我正在尝试做的事情总是完成. 解决方案 转义输入并不是成功预防 XSS 的最佳方法.还必须对输出进行转义.如果 ..
发布时间:2021-12-01 10:46:49 PHP

如何使用 HTML/PHP 防止 XSS?

如何仅使用 HTML 和 PHP 来防止 XSS(跨站点脚本)? 我已经看过许多关于这个主题的其他帖子,但我还没有找到一篇清晰简洁地说明如何实际防止 XSS 的文章. 解决方案 基本上需要用到htmlspecialchars() 每当您想将来自用户输入的内容输出到浏览器时. 正确使用这个函数的方法是这样的: echo htmlspecialchars($string, ENT ..
发布时间:2021-12-01 10:13:06 PHP

如何使用 PHP 清理用户输入?

是否有一个包罗万象的功能可以很好地清理用户输入以应对 SQL 注入和 XSS 攻击,同时仍然允许某些类型的 HTML 标签? 解决方案 认为可以过滤用户输入是一个常见的误解.PHP 甚至有一个(现已弃用)“功能",称为 magic-quotes,建立在这个想法之上.这是胡说八道.忘记过滤(或清洁,或任何人们所说的). 为了避免出现问题,您应该做的很简单:每当您将一段数据嵌入到外部代码 ..
发布时间:2021-12-01 10:11:08 PHP

错误:访问属性“文档"的权限被拒绝

我有一个包含 iframe 的 HTML 文档.每当我尝试使用 JS 访问或修改此 iframe 时,我都会收到 Error: Permission denied to access property "document". 我正在使用 frame.contentWindow.document.body.innerHTML 或 frame.contentWindow.document.bod ..
发布时间:2021-11-26 18:39:26 前端开发

JSP/Servlet Web 应用程序中的 XSS 预防

如何防止 JSP/Servlet Web 应用程序中的 XSS 攻击? 解决方案 在 JSP 中可以使用 JSTL 标签或 fn:当(重新)显示用户控制的输入时,escapeXml() EL 函数.这包括请求参数、标头、cookie、URL、正文等.您从请求对象中提取的任何内容.此外,存储在数据库中的先前请求的用户控制输入需要在重新显示期间进行转义. 例如: ..
发布时间:2021-11-25 10:57:00 Java Web开发

JSP/Servlet Web 应用程序中的 XSS 预防

如何防止 JSP/Servlet Web 应用程序中的 XSS 攻击? 解决方案 在 JSP 中可以使用 JSTL 标签或 fn:当(重新)显示用户控制的输入时,escapeXml() EL 函数.这包括请求参数、标头、cookie、URL、正文等.您从请求对象中提取的任何内容.此外,存储在数据库中的先前请求的用户控制输入需要在重新显示期间进行转义. 例如: ..
发布时间:2021-11-19 22:37:24 Java Web开发

覆盖 Array 构造函数不会影响 [],对吗?

我刚刚读到:http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx 我的印象是覆盖 Object 或 Array 仅在您选择使用时才有效创建数组/对象时的构造函数,但是,根据那篇文章,它也对文字创建({} 和 [])... 我的逻辑: Array = function(){ a ..
发布时间:2021-11-18 03:39:23 其他开发

单独使用 nginx 的简单 CSRF 保护

我有一个 nginx 服务器,提供纯 HTML 和 JS 文件. js 代码然后调用各种 REST API 来从 API 服务器获取/发布数据. 如果 nginx 收到对/api/location 的请求,它会将请求转发到另一个处理所有 API 的服务器.这个 api 服务器是用 Ruby on Rails 构建的. 由于我所有的纯 HTML 页面都是由 nginx 直接交付的, ..
发布时间:2021-11-17 02:29:01 其他开发

使用 JavaScript 动态加载 JavaScript

经过一个多小时的尝试使其正常工作后,我认为这是因为跨域策略,但我真的认为这会起作用.我也找不到很多关于它的信息.但是,这是我的问题.我有一个名为 http://mysite.com 的网站,然后我包含了一个 3rd 方脚本(我写的)及其在 http://supercoolsite.com/api/script.js 并且这个脚本需要动态加载谷歌地图 api:http://maps.google.c ..
发布时间:2021-11-15 01:34:37 其他开发

如何在 Jersey 2 中修改 QueryParam 和 PathParam

我正在尝试过滤/修改 Post 和 Put 调用,以确保从 HTML 和 JS 代码中过滤掉用户提供的所有参数,以防止 XSS 攻击.我想确保这是在 API 级别实现的,因此无论使用什么客户端,它都会受到保护. 在 Jersey 1.x 中,这可以通过在它们与请求的 servlet 匹配之前实现 ContainerRequestFilter 并修改 request.getQueryParam ..
发布时间:2021-11-15 00:26:56 其他开发

angularjs + 跨站脚本防止

Angularjs 是否负责 XSS 攻击.我已经读过 ng-bind 会照顾.但是当我尝试做一个示例来测试它时,它允许我使用 ng-model 在输入类型中插入 html 标签......它没有转义 Html 标签. 我的页面中有很多 input 元素,它们与 ng-model 绑定,我该怎么做才能确保如果我输入了 html 标签,angular 会忽略 html/scrip 标签. ..
发布时间:2021-11-09 03:48:59 其他开发

尖括号 mysql php

当 VARCHAR 字段内的文本被尖括号(' 描述信息;+--------------+--------------------+------+-----+---------+-------+|领域 |类型 |空 |钥匙 |默认 |额外 |+--------- ..
发布时间:2021-10-04 18:48:01 其他开发

如何解决OWASP ZAP报告的“alert(1);"XSS 漏洞

针对我们的应用程序运行 OWASP ZAP 扫描工具后,当该工具使用此字符串进行攻击时,我们发现了许多 XSS 漏洞: " onMouseOver="alert(1); 或 ;alert(1) 所以这样的字符串会出现在服务器响应中.虽然它在浏览器中没有做任何事情.可能是想给Html标签插入额外的属性,但是怎么解决? 解决方案 如果您可以发布有关注入攻击的 html,那么这可能就足够 ..
发布时间:2021-10-04 18:47:58 其他开发

防止 javascript GET 和 Script

是否有任何限制 Javascript Get、Post 请求到指定域的方法?我也可以以某种方式禁用 JSONP 吗? 我想开发一个 Web 内容框架,让人们可以在不同的页面中包含 javascript,但我不希望这些脚本访问任何其他域. 我熟悉 firefox 的“内容安全策略",但不幸的是,这只适用于 firefox. 解决方案 默认情况下它是“禁用的".如果要“允许"jso ..
发布时间:2021-10-04 18:47:54 其他开发

PHP 表单提交会导致整个文件刷新吗?

将使用 导致用户点击提交时整个页面刷新?还是只是 PHP 部分? 解决方案 页面通常会在提交表单后重新加载以显示提交后收到的回复形式. 为了防止这种情况,您有两种方法: 在表单标签中使用target=_blank 使用 event.preventDefault(); 来阻止表单的默认操作,然后使用 fetch 手动发送数据,或者如果您使用 JQuery,您可能会使 ..
发布时间:2021-10-04 18:47:51 其他开发

HttpServletRequest - 编码 url 和隐藏字段参数的快速方法

在我的 Java 应用程序中,我正在防止 XSS 攻击.我想在我处理的 HttpServletRequest 对象中编码 URL 和隐藏字段参数. 我该怎么做? 解决方案 不要那样做.你让它变得不必要地复杂.仅在显示期间将其转义.请参阅我在您的其他主题中的回答:Java 5 HTML 转义以防止XSS ..
发布时间:2021-10-04 18:47:48 其他开发

逃避用户生成的内容 - 这是什么意思?

我开始使用 Google 的分享按钮.我实际上正在使用共享链接,并且在文档中的某个时候它说: 注意:将 {URL} 替换为您要共享的页面的 URL.你必须正确地转义任何可能出现的用户生成的内容{网址} 这是什么意思,我该如何逃避? 解决方案 转义意味着您将可能有害的字符转换为对计算机无害的字符进行翻译. 例如: url = "doSomeNastyStuff();"; ..
发布时间:2021-10-04 18:47:45 其他开发

如何使用 Rails 在标题标签上显示一些 HTML 实体

我正在运行 Rails 4.2.x,但遇到以下问题. 某些页面的 是根据用户内容生成的.所以我必须使用 sanitize Rails 助手来正确清理它. 但是如果用户写了类似“A&B"的东西,浏览器中显示的标题是A&B 这是错误的. 使用 Rails 转义 标签上的用户内容的正确方法是什么?至少应该包含一些特殊字符... 解决方案 我们可以使用 CGi还有 ti ..
发布时间:2021-10-04 18:47:42 其他开发