xss相关内容
我正在尝试确定 Play 框架如何支持转义. 这是一个很好的页面,详细说明了所需的功能:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 所以我试图将其与 Play 模板功能联系起来,并充分了解 Play 的功能和不具备的功能. HTML 转义:${} 或 e
..
我阅读了教程 DIY 小部件 - 如何将您的网站嵌入另一个网站 尼克博士的 XSS 小部件. 我正在寻找一种将参数传递给脚本标记的方法.例如,要进行以下工作: 有没有办法做到这一点? 两个有趣的链接: 如何嵌入依赖 jQuery 进
..
我正在使用 Webview 和 Javascript 创建一个 android 网络应用程序,使 addJavascriptInterface(true). 我的应用程序将包含将从外部站点加载的数据(html). 我在启用 addJavascriptInterface(true) 时担心我的应用的跨站点脚本 XSS/安全. 我应该注意哪些事项以免恶意代码在我的应用上运行?
..
在编码可能不安全的数据时,是否有理由对 > 进行编码? 它验证任一方式. 浏览器以任何一种方式解释相同,(在 attr="data"、attr='data'、data) 我认为有人会这样做的原因是 简化基于正则表达式的标签移除.]+>?(罕见) 未加引号的字符串attr=data.:-o(没有发生!) 代码中的美学.(那又怎样?) 我错过了什么吗
..
当使用时,这里的URL是指一个纯文本文件, 有没有办法在 JavaScript 中访问文件的内容?文件被传输到浏览器,但 script 元素的 innerHTML 属性的值没有改变(它仍然是空字符串).检查 DOM 中的元素节点似乎没有发现任何可以找到接收到的内容的属性. 我知道可以改用
..
我是 Web 应用安全的新手.我正在用 Cakephp 开发一个应用程序,我的一个朋友告诉我关于跨站请求伪造 (CSRF) 和跨站脚本 (XSS) 攻击等.不知道还有多少. 我需要一些帮助来理解如何让 Cakephp 保护我的网络应用程序免受这些攻击.我们的预算很低,目前我们无法聘请安全顾问.我们仍在开发该应用程序,并计划在本月底发布.所以想要处理可以帮助我不被黑客入侵的初始东西;)
..
我正在我自己的代码上测试 xss 攻击.下面的示例是一个简单的框,用户可以在其中输入他想要的任何内容.按“测试!"后按钮,JS 会将输入字符串显示为两个 div.这是我为了更好地解释我的问题而制作的示例:
..
从我所看到的一切来看,似乎在用户输入的内容上转义 html 的约定(为了防止 XSS)是在呈现内容时执行此操作.大多数模板语言似乎默认都这样做,我遇到过诸如 this stackoverflow answer 认为这个逻辑是表示层的工作. 所以我的问题是,为什么会这样?对我来说,逃避输入(即表单或模型验证)似乎更清晰,因此您可以假设数据库中的任何内容都可以安全地显示在页面上,原因如下:
..
如何使用 HTMLPurifier 过滤 xss 并允许 iframe Vimeo 和 Youtube 视频? require_once 'htmlpurifier/library/HTMLPurifier.auto.php';$config = HTMLPurifier_Config::createDefault();$config->set('HTML.Trusted', true);$co
..
我有一个基于 JSF 构建的 Web 应用程序,其中 MySQL 作为数据库.我已经在我的应用程序中实现了防止 CSRF 的代码. 现在由于我的底层框架是 JSF,我想我不必处理 XSS 攻击,因为它已经由 UIComponent 处理了.我没有在任何视图页面中使用任何 JavaScript.即使我使用,我真的需要实现代码来防止 XSS 攻击吗? 对于数据库,我们在所有数据库交互中使用
..
我正在研究 Java 应用程序中的一些 XSS 预防措施. 我目前有自定义构建的例程,可以转义存储在数据库中的任何 HTML,以便在我的 jsps 中安全显示.但是,如果可能,我宁愿使用内置/标准方法来执行此操作. 我目前没有对发送到数据库的数据进行编码,但也想开始这样做. 是否有任何内置方法可以帮助我实现这一目标? 解决方案 您通常会在 显示 期间逃避 XSS,而不是在
..
如http://www.crasharea.co.uk/blog/xss-vulnerabilities-in-web-frameworks-2/ ${} 在 struts 2 中不是 xss 安全的,而在 Tapestry 5 中是安全的. 我不是 Tapestry 的人,但我想知道以上是否正确. 据我所知 ${} 是 JSLT 的一部分,它不依赖于任何网络框架.因此,如果上述
..
我正在编写一个基于 servlet 的应用程序,我需要在其中提供一个消息传递系统.我比较着急,所以选择了CKEditor来提供编辑能力,目前我直接把生成的html插入显示所有消息的网页(消息存储在 MySQL 数据库中,仅供参考).CKEditor 已经根据白名单过滤了 HTML,但是用户仍然可以通过 POST 请求注入恶意代码,所以这还不够. 一个很好的库已经存在通过过滤 HTML 标签来
..
如何将 PHP 应用程序 中的 cookie 设置为 HttpOnly cookies? 解决方案 对于您的 cookie,请参阅此答案. 对于 PHP 自己的会话 cookie(PHPSESSID,默认情况下),请参阅 @richie 的回答 setcookie() 和 setrawcookie() 函数,引入了布尔值 httponly 参数,回到 PHP 5.2.0 的黑暗时代
..
阅读 Jeff 关于保护您的 Cookie:HttpOnly 的博文后.我想在我的网络应用程序中实现 HttpOnly cookie. 你如何告诉 tomcat 在会话中只使用 http cookie? 解决方案 从 Tomcat 6.0.19 和 Tomcat 5.5.28 开始支持 httpOnly. 请参阅 changelog 条目以了解错误 44382. 关于错误
..
我试图使用 jQuery 的 ajax 方法访问不同域上的 Web 服务.经过一些研究,它看起来不允许这是为了防止跨站点脚本而设计的. 我遇到了一个解决方法,其中包括这一行: $.support.cors = true; 在我的 javascript 代码的顶部.据我了解,这可以在 jQuery 中启用跨站点脚本. 拥有这行代码是否会使我的网站更容易受到攻击?我一直听说 XSS 是
..
我们有一个高度安全的应用程序,我们希望允许用户输入其他用户会看到的 URL. 这会带来 XSS 黑客攻击的高风险 - 用户可能会输入另一个用户最终执行的 javascript.由于我们持有敏感数据,因此绝不能发生这种情况. 处理这个问题的最佳做法是什么?任何安全白名单或转义模式就足够了吗? 关于处理重定向的任何建议(例如,在点击链接之前,警告页面上的“此链接超出我们的网站"消息)
..
在下面的视频中,在时间标记 21:40 时,Microsoft PDC 演示者说包装所有 JSON 很重要,这样它就不是顶级数组: https://channel9.msdn.com/Events/PDC/PDC09/FT12 解包顶级数组的风险是什么? 我应该如何检查我是否易受攻击?我从 3rd 方购买了许多组件,并有外部供应商开发我的代码. 解决方案 这是因为几年前
..
目前,我采用了“把所有东西都扔在墙上,看看有什么用"的方法来阻止上述问题.下面是我拼凑的函数: function madSafety($string){$string = mysql_real_escape_string($string);$string = stripslashes($string);$string = strip_tags($string);返回 $string;} 但是,
..
所以我现在一直在 telnet 中玩弄 HTTP 来获得乐趣(即只需输入 telnet google.com 80 并放入具有不同标头等的随机 GET 和 POST 信息)但我我遇到了 google.com 在它的标头中传输的一些我不知道的东西. 我一直在浏览 http://www.w3.org/Protocols/rfc2616/rfc2616.html 并没有找到谷歌似乎正在喷出的这个特
..