防止CSRF和XSS(哈希+加密)
安全性。如今,如果没有为应用程序编程适当的安全性,则任何应用程序都无法在Internet上生存下来-无论是开发人员使用的框架,还是开发人员自己使用的框架。我目前正在开发一个RESTful API,以使用Bearer令牌身份验证来工作,但是一直在阅读有关XSS和CSRF攻击的信息。 问题1)根据我的阅读,我发现使用RESTful API且使用基于令牌的身份验证的RESTful API的应用程序
..
xss相关内容
验证Cookie是否与硬编码值列表匹配
根据之前的问题一个基本脚本,该脚本通过更新所用的CSS来重新设置我的网站的主题,但是这样做的方式不安全,以至于echo值容易受到XSS攻击: index.php 主题测试
..
会话ID位置:表单隐藏字段与HTTPOnly Cookie
将会话ID放在隐藏形式输入中与cookie相比有什么优缺点? 将CSRF-Tag放在隐藏形式输入中是否正确? httpOnly Cookie中的字段和会话ID?哪个更安全? 解决方案 我不认为一个安全性就比另一个安全性低。安全性通常是分层构建的。通过断言选择A可能比选择B 更安全,则当两个选择都在同一个行业中发挥作用时,您就断言安全性就此止步。 通过以隐藏形式输入的形式传递会话
..
使用内容安全策略防止Internet Explorer 11上的内联JavaScript
是否可以在ASP.NET WebForm上使用CSP阻止Internet Explorer 11上的内联JavaScript?我知道IE 11不支持内容安全策略2级,但它看到了对1.0级的支持。我尝试了很多方法,但没有明确的答案。我尝试过: Response.AddHeader(“ X-Content-Security-Policy”,“ script-src‘none’”); Respo
..
允许所有内容安全策略?
是否可以将内容安全策略配置为完全不阻止任何内容?我正在运行计算机安全类,并且我们的网络黑客项目在较新版本的Chrome上遇到问题,因为没有任何CSP标头,它将自动阻止某些XSS攻击。 解决方案 对于仍希望获得更宽松的帖子的人,因为其他答案还不够宽松,并且它们必须与 *的谷歌浏览器一起使用还不够: default-src *数据:blob:文件系统:关于:ws:wss: 'insaf
..
针对用户输入的全面安全性-PHP,MySQL
可能重复: 什么是最好的PHP输入清理函数? 最终的清理/安全函数 目标:进入DB之前,请正确清理来自文本框的所有输入,然后将其输出到页面。对于我的用例,我需要在不消除数据输入的同时防止潜在的问题。同样,在HTTP标头和META标签中,字符集都显式设置为UTF-8,以防止格式错误的编码问题。 DB也设置为UTF-8。 规格:PHP,MySQL,Apache 示例代码:
..
使用故意的HTML注入创建HTML
我是一名网络安全专业的学生,试图了解一些基本的HTML注入。我已经在这段代码上工作了几天,无法理解我做错了什么。我当前拥有的代码允许注入,例如,如果将
test 放入文本框,它将显示test作为标题。但是,如果我尝试 alert(1) ,则实际上不会运行该脚本。我尝试将文本框的值设置为“”,或者想到可以通过在文本框中输入以下内容来
..
正在替换:<和>与& lt;和& gt;足以防止XSS注入?
我想知道使两个标记 足以阻止XSS注入吗? 如果没有,为什么?最好的解决方案是什么? 解决方案 这在很大程度上取决于上下文。 在一个典型的论坛站点上查看此示例... 您可以热链接您的头像图像。输入完整的URL。 恶意用户在输入字段中输入 http://www.example.com/image.png“ onload =” window.locati
..
如何克服Codeigniter中的xss_clean错误?
无法访问与您的字段名称用户名相对应的错误消息。(xss_clean) 无法访问与您的域名对应的错误消息字段名称电子邮件。(xss_clean) 无法访问与您的字段名称密码对应的错误消息。(xss_clean) 如何克服与字段相对应的错误? “无法访问与您的字段对应的错误消息” 这到底是什么? 解决方案 无法访问与您的字段名密码对应的错误消息。(xss_clean)
..
CKEditor安全最佳实践
我在一个小型PHP / MySQL论坛中使用 http://ckeditor.com/ 我建造了。我的问题: 将这样创建的用户创建的HTML保存在数据库中,然后重新显示在我的数据库中是否安全?应用?我应该采取哪些预防措施来保护论坛用户免受脚本注入等危害?
test test
..
HTMLPurifier破坏图像
我正在尝试在所见即所得(CK编辑器)的用户输入上运行HTMLPurifier,并且图像损坏。 未过滤的输入:
..
密钥管理:chart.js的硬编码加密密钥
我面临与chart.js api的“密钥管理:硬编码加密密钥”相关的问题。我们出于安全目的使用Fortify扫描。如何避免使用“硬编码加密密钥”。 扫描后,我们发现在chart.js中硬编码的代码行。有什么办法可以解决此问题。 var axisType = helpers.getValueOrDefault(valueObj.type,key ==='xAxes'?'category
..
在php中传递base64编码的数据
我有一个页面,该页面通过GET接收base64编码的数据,它在隐藏的输入中打印数据,并通过get传递到另一个页面. 问题是这样的:当我通过 "Peuq/0X4XhFV+XNa8T06qFrP8lRadORUQBGJ1w6D4m33Jaqx/skKDEJIxjldBrcklboL/uB4C65cjz3BHMPmd3moEJ4GTK5k5Jwf9Ny4BA467bwgeaHJuOS+Cjw
..
如何使用Web API限制DOS攻击
我正计划使用MVC4和Web APi开发一个Internet站点.它是一个简单的应用程序,它将基于搜索显示客户信息. 对于搜索功能,我正在使用Ajax get方法调用webApi(我知道我应该在使用Post,但是认为这是当前的实现). 我的Api电话是 "/api/Data/getSearchResults/?companyName='" + companyName 我觉得这条线
..
默认情况下,ASP.NET MVC 4是否需要额外的XSS处理
默认情况下,ASP.NET MVC 4忽略帖子消息中的HTML输入.如果我不明确接受HTML,我需要编写任何代码来保护自己的网站免受XSS攻击吗?我不会使用[AllowHtml]或[ValidateInput(false)].我只是想找出是否应该担心XSS攻击.我正在使用Razor作为视图引擎. 解决方案 我发现 Amir Ismail 一个解决您所有问题的方法. http://mirop
..
防止XSS攻击并仍然使用Html.Raw
我有CMS系统,正在使用CK编辑器输入数据.现在,如果用户键入alert('This is a bad script, data');,则CKEditor会完成公平的工作并将其正确编码,然后将传递给服务器. 但是,如
..
Vue默认情况下是否为XSS提供安全性或防御XSS?
我正在设法弄清楚如何保护, 角度 Vue 反应 对抗XSS攻击.当我访问Angular官方文档时, https://angular.io/guide/security ,它说: 为系统地阻止XSS错误,Angular将所有值视为 默认情况下不受信任.当值从插入到DOM中时 模板,通过属性,属性,样式,类绑定或 插值,Angular会清除并转义不受信任的值.
..
为什么Angular2清理组件中的脚本标签?
我完全理解,出于安全原因并为了防止XSS攻击,必须清除用户输入: 清理来自文本字段或输入字段的输入. 但是,我很难理解Angular为什么要从组件模板中删除脚本元素. 就像在官方文档中写的一样: 信任模板中的HTML,属性和绑定表达式(但不绑定值)是安全的 因此,如果可以信赖它们是安全的,为什么在编译时会自动删除脚本标签? 我在这里可能缺少安全性问题,但是即使阅读了有
..
Angular2 ASP.NET Core防伪令牌
我有一个 Angular2 应用.它在 ASP.NET 5(核心)中运行. 它将Http调用到正常工作的控制器. 但是现在我需要建立跨站点脚本投影. 如何在每个Http请求上生成一个新令牌,然后在Angular2应用中执行AntiForgeryToken检查? 注意:我在Angular中的数据表单不是从MVC视图生成的,而是完全用Angular2编写的,并且仅调用Web服务.
..
Angular如何处理XSS或CSRF?
Angular(2)如何处理XSS和CSRF.它甚至可以应对这些攻击吗? 如果是这样,我该怎么做才能使用此保护?如果没有,我是否必须处理服务器中的所有这些攻击,或者以某种方式使用前端的TypeScript? 我已经读到您必须使用"withCredentials: true",但是我不确定要在哪里放置此代码,或者即使是这样,我也在寻找什么. 在 https://angular.io/网页
..