xss相关内容

在 Play 框架中正确转义的指南

我正在尝试确定 Play 框架如何支持转义. 这是一个很好的页面,详细说明了所需的功能:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 所以我试图将其与 Play 模板功能联系起来,并充分了解 Play 的功能和不具备的功能. HTML 转义:${} 或 e ..
发布时间:2022-01-02 21:37:06 Java开发

使用 Webview/javascript 的 Android 应用程序.什么是安全问题?

我正在使用 Webview 和 Javascript 创建一个 android 网络应用程序,使 addJavascriptInterface(true). 我的应用程序将包含将从外部站点加载的数据(html). 我在启用 addJavascriptInterface(true) 时担心我的应用的跨站点脚本 XSS/安全. 我应该注意哪些事项以免恶意代码在我的应用上运行? ..
发布时间:2021-12-28 15:48:01 移动开发

HTML:我应该编码大于还是不大于?( > > )

在编码可能不安全的数据时,是否有理由对 > 进行编码? 它验证任一方式. 浏览器以任何一种方式解释相同,(在 attr="data"、attr='data'、data) 我认为有人会这样做的原因是 简化基于正则表达式的标签移除.]+>?(罕见) 未加引号的字符串attr=data.:-o(没有发生!) 代码中的美学.(那又怎样?) 我错过了什么吗 ..
发布时间:2021-12-27 15:42:26 前端开发

如何访问通过 <script type="text/plain" 检索的纯文本内容src=...>在 JavaScript 中?

当使用时,这里的URL是指一个纯文本文件, 有没有办法在 JavaScript 中访问文件的内容?文件被传输到浏览器,但 script 元素的 innerHTML 属性的值没有改变(它仍然是空字符串).检查 DOM 中的元素节点似乎没有发现任何可以找到接收到的内容的属性. 我知道可以改用 ..
发布时间:2021-12-22 19:46:50 前端开发

Cakephp 安全

我是 Web 应用安全的新手.我正在用 Cakephp 开发一个应用程序,我的一个朋友告诉我关于跨站请求伪造 (CSRF) 和跨站脚本 (XSS) 攻击等.不知道还有多少. 我需要一些帮助来理解如何让 Cakephp 保护我的网络应用程序免受这些攻击.我们的预算很低,目前我们无法聘请安全顾问.我们仍在开发该应用程序,并计划在本月底发布.所以想要处理可以帮助我不被黑客入侵的初始东西;) ..
发布时间:2021-12-21 21:22:42 其他开发

输入与输出的 HTML/XSS 转义

从我所看到的一切来看,似乎在用户输入的内容上转义 html 的约定(为了防止 XSS)是在呈现内容时执行此操作.大多数模板语言似乎默认都这样做,我遇到过诸如 this stackoverflow answer 认为这个逻辑是表示层的工作. 所以我的问题是,为什么会这样?对我来说,逃避输入(即表单或模型验证)似乎更清晰,因此您可以假设数据库中的任何内容都可以安全地显示在页面上,原因如下: ..
发布时间:2021-12-21 14:50:05 其他开发

JSF 中的 CSRF、XSS 和 SQL 注入攻击预防

我有一个基于 JSF 构建的 Web 应用程序,其中 MySQL 作为数据库.我已经在我的应用程序中实现了防止 CSRF 的代码. 现在由于我的底层框架是 JSF,我想我不必处理 XSS 攻击,因为它已经由 UIComponent 处理了.我没有在任何视图页面中使用任何 JavaScript.即使我使用,我真的需要实现代码来防止 XSS 攻击吗? 对于数据库,我们在所有数据库交互中使用 ..
发布时间:2021-12-20 14:41:14 其他开发

Java 5 HTML 转义以防止 XSS

我正在研究 Java 应用程序中的一些 XSS 预防措施. 我目前有自定义构建的例程,可以转义存储在数据库中的任何 HTML,以便在我的 jsps 中安全显示.但是,如果可能,我宁愿使用内置/标准方法来执行此操作. 我目前没有对发送到数据库的数据进行编码,但也想开始这样做. 是否有任何内置方法可以帮助我实现这一目标? 解决方案 您通常会在 显示 期间逃避 XSS,而不是在 ..
发布时间:2021-12-13 15:37:21 Java开发

如何清理 HTML 代码以防止 Java 或 JSP 中的 XSS 攻击?

我正在编写一个基于 servlet 的应用程序,我需要在其中提供一个消息传递系统.我比较着急,所以选择了CKEditor来提供编辑能力,目前我直接把生成的html插入显示所有消息的网页(消息存储在 MySQL 数据库中,仅供参考).CKEditor 已经根据白名单过滤了 HTML,但是用户仍然可以通过 POST 请求注入恶意代码,所以这还不够. 一个很好的库已经存在通过过滤 HTML 标签来 ..
发布时间:2021-12-13 15:19:50 Java开发

你如何在 PHP 中设置使用 HttpOnly cookie

如何将 PHP 应用程序 中的 cookie 设置为 HttpOnly cookies? 解决方案 对于您的 cookie,请参阅此答案. 对于 PHP 自己的会话 cookie(PHPSESSID,默认情况下),请参阅 @richie 的回答 setcookie() 和 setrawcookie() 函数,引入了布尔值 httponly 参数,回到 PHP 5.2.0 的黑暗时代 ..
发布时间:2021-12-13 09:55:59 PHP

使用 $.support.cors = true 是否安全;在 jQuery 中?

我试图使用 jQuery 的 ajax 方法访问不同域上的 Web 服务.经过一些研究,它看起来不允许这是为了防止跨站点脚本而设计的. 我遇到了一个解决方法,其中包括这一行: $.support.cors = true; 在我的 javascript 代码的顶部.据我了解,这可以在 jQuery 中启用跨站点脚本. 拥有这行代码是否会使我的网站更容易受到攻击?我一直听说 XSS 是 ..
发布时间:2021-12-13 09:38:54 其他开发

使用用户输入的 URL 处理安全性和避免 XSS 的最佳方法

我们有一个高度安全的应用程序,我们希望允许用户输入其他用户会看到的 URL. 这会带来 XSS 黑客攻击的高风险 - 用户可能会输入另一个用户最终执行的 javascript.由于我们持有敏感数据,因此绝不能发生这种情况. 处理这个问题的最佳做法是什么?任何安全白名单或转义模式就足够了吗? 关于处理重定向的任何建议(例如,在点击链接之前,警告页面上的“此链接超出我们的网站"消息) ..
发布时间:2021-12-13 09:25:17 其他开发

什么是“顶级 JSON 数组"?为什么它们存在安全风险?

在下面的视频中,在时间标记 21:40 时,Microsoft PDC 演示者说包装所有 JSON 很重要,这样它就不是顶级数组: https://channel9.msdn.com/Events/PDC/PDC09/FT12 解包顶级数组的风险是什么? 我应该如何检查我是否易受攻击?我从 3rd 方购买了许多组件,并有外部供应商开发我的代码. 解决方案 这是因为几年前 ..
发布时间:2021-12-13 09:24:46 前端开发

防御 mysql 注入和跨站点脚本的最佳方法

目前,我采用了“把所有东西都扔在墙上,看看有什么用"的方法来阻止上述问题.下面是我拼凑的函数: function madSafety($string){$string = mysql_real_escape_string($string);$string = stripslashes($string);$string = strip_tags($string);返回 $string;} 但是, ..
发布时间:2021-12-13 09:24:01 PHP

什么是http-header“X-XSS-Protection"?

所以我现在一直在 telnet 中玩弄 HTTP 来获得乐趣(即只需输入 telnet google.com 80 并放入具有不同标头等的随机 GET 和 POST 信息)但我我遇到了 google.com 在它的标头中传输的一些我不知道的东西. 我一直在浏览 http://www.w3.org/Protocols/rfc2616/rfc2616.html 并没有找到谷歌似乎正在喷出的这个特 ..
发布时间:2021-12-11 10:51:02 其他开发