xss相关内容

Cakephp安全

我是新的Web应用程序安全。我在Cakephp开发一个应用程序,我的一个朋友告诉我关于跨站点请求伪造(CSRF)和跨站点脚本(XSS)攻击等,不知道还有多少。 我需要一些帮助,了解如何使Cakephp保卫我的网络应用程序对这些。我们是低预算,我们不能聘请安全consulant现在。我们仍在开发应用程式,并计划在月底前发布。所以想要照顾最初的东西,可以帮助我站在没有黑客;) 解决方案 ..
发布时间:2016-11-08 10:13:56 PHP

覆盖IInternetSecurityManager中的GetSecurityId

我已经构建了一个可执行文件,启动一个对话框,其中嵌入了IE浏览器active-x控件(C ++)。 我希望此控件允许跨站脚本。网页上的一个框架加载本地html,其他从服务器加载。然后我想要服务器页面调用生活在本地html文件中的javascript函数。 我试图实现这个控件实现它自己的“IInternetSecurityManager”接口,其中我提供我自己的ProcessUrlAct ..
发布时间:2016-10-25 14:35:02 C/C++开发

覆盖IInternetSecurityManager中的GetSecurityId

我已经构建了一个可执行文件,启动一个对话框,其中嵌入了IE浏览器active-x控件(C ++)。 我希望此控件允许跨站脚本。网页上的一个框架加载本地html,其他从服务器加载。然后我想要服务器页面调用生活在本地html文件中的javascript函数。 我试图实现这个控件实现它自己的“IInternetSecurityManager”接口,其中我提供我自己的ProcessUrlAct ..
发布时间:2016-10-25 14:18:06 C/C++开发

覆盖IInternetSecurityManager中的GetSecurityId

我已经构建了一个可执行文件,启动一个对话框,其中嵌入了IE浏览器active-x控件(C ++)。 我希望此控件允许跨站脚本。网页上的一个框架加载本地html,其他从服务器加载。然后我想要服务器页面调用生活在本地html文件中的javascript函数。 我试图实现这个控件实现它自己的“IInternetSecurityManager”接口,其中我提供我自己的ProcessUrlAct ..
发布时间:2016-10-25 14:03:41 C/C++开发

PHP的base64验证连接codeD映像

我需要找到一种方法来验证的形象是连接的base64在PHP中codeD。 通过验证我在想XSS和类似的其他安全的事情。 的流程是: 用户有一些参数,其中,他们一个base64 EN图像code串的一个OG越来越张贴到我的网站。当我收到称为IMG1参数FX具有的base64 EN codeD映像字符串值。 然后,我会想,以确保这一带的base64 codeD字符串只包含图片的所行没有任何标签 ..
发布时间:2016-08-01 21:32:52 PHP

也可把休息的身份验证令牌上SPA客户端的任何安全的方式?

如果我们从其他服务器的令牌,并在授权每个请求使用AuthorizationToken头,我们仍然需要保持它时,浏览器的页面被关闭。 唯一的通用办法做到这一点是把令牌饼干。但是,即使不使用用于验证的饼干这样的方式,可以将它们通过XSS被盗。 而且我们不能使用的HttpOnly标志。所以: 是为了保护令牌,并保持它的安全的任何其他特定方式? 如果整个会话过程中使用HTTPS和令牌饼干被 ..
发布时间:2016-07-25 09:41:35 ASP .NET

防XSS和传统ASP

目前,林试图保护从我的XSS传统的ASP应用程序。我碰到的AntiXSS从MS在网络上,我想知道这是否会采用了经典的应用吗? 如果不是你有什么想法如何,我可以去sanatizing琴弦? 任何帮助都将是辉煌的。 感谢 解决方案 要清理字符串我就带HTML code所有输出,这样你就不必丁克周围的特殊字符或正则表达式的巨大前pressions Server.HTMLEn code( ..
发布时间:2016-07-15 09:17:27 ASP

有人可以解释这个SQL注入攻击我吗?

我想在这里发布此,因为它是非常相关的编码和是我必须在本周清理对我公司的旧的ASP(经典)的网站之一。 我们腹背受敌与刚刚在几天前运行SQL注入攻击,但我抓我的头究竟是什么“伤害”是到SQL服务器(通过这些SQL查询)。 说实话,我认为这是执行的方式,它是非常巧妙的,它的我公司对故障有一个老10岁的网站几乎没有消毒的输入。 攻击: 122+declare+%40s+varchar%284 ..
发布时间:2016-07-15 09:16:34 ASP

跨站点脚本要求使得我的API没用

也许我只是不理解这个权利,但是这似乎并没有道理给我。 我有一个MVC4项目露出一个ASP.NET的WebAPI。它的伟大工程打电话到该项目中的API,但显然从另一个正在运行的项目(另一个端口),使得它的调用需要跨站点脚本。 但这里是我的问题:这是否击败API的目的是什么?如果我要拨打电话,从我的网站reddit的API,这被认为是跨站点脚本的事实使得它不仅是一个不错的安全性,但在某些情况下是不 ..
发布时间:2016-07-14 08:50:05 前端开发

Asp.Net MVC输入验证被禁用后,仍然射击

我已经停用​​ validateRequest 在我的web.config,但应用程序仍触发错误: 从客户端检测到有潜在危险的Request.Form值 我有在我的web.config以下 <的httpRuntime requestValidationMode =“2.0”/> &所述;网页validateRequest =“假”> 我也试过在我的控制器 ..
发布时间:2016-06-28 22:42:31 ASP .NET

为prevent XSS最佳实践黑客

我的团队有25 developer.we使用mvc.net应用程序的成员我们。我们使用的安全性是一个重要的 @ Html.AntiForgeryToken()和任何与安全相关的,但我们担心prevent XSS黑客。 我们带code每一个地方,但有些地方我们需要HTML代码的用户。 什么是prevent XSS最佳实践黑客? 解决方案 的金科玉律,以prevent XSS是HTML E ..
发布时间:2016-06-28 20:56:11 ASP .NET

我使用AntiXSS,但我仍然可以破解页

我不知道如果我这样做的权利。 我第一次建立的东西到页面上prevent攻击。 我会从底层做起: 我有属性: 公共字符串描述{获取;设置;} ,用户可以设置它的TinyMCE的通过值 tinyMCE.init({ 模式:“文字区域” 主题:“高级”, 编码:“XML”...... 在控制器我保存这个数据库 ..
发布时间:2016-06-28 20:35:24 ASP .NET

如何保存HTML数据库和获取它

学习安全这些天:) 我需要让用户在表单中输入文本,并允许他们一些HTML标签:粗体,斜体等名单和prevent他们增加一些危险的JavaScript code 所以,我已经使用这个白名单实施来清理HTML。 但我仍然困惑如何保存和以正确的方式显示出来。 所以在这里我所做的: 型号: 公共类帖子 { [AllowHtml] 公共 ..
发布时间:2016-06-20 13:46:12 ASP .NET

在WebForms的生成AntiForgeryToken

我有一个.NET Web表单网站由于需要张贴到目前坐镇WebForm的网站作为一个单独的应用程序里面我的MVC应用程序。 在网络表单应用程序需要发布一些敏感值的MVC应用程序。 有没有办法在我的WebForms应用程序生成AntiForgeryToken(),所以它可以与表单提交传递。 否则没有人知道任何其他自定义防伪造code,让我做类似MVC的AntiForgeryValidation东 ..
发布时间:2016-06-20 12:22:54 ASP .NET

为什么标号x = txtName.Text;谈到下的XSS攻击而这里什么是prevention?

我有以下的code: 标签X = txtName.Text; 在安全团队分析了DLL他们说,这是可能执行上述code XSS攻击。我知道,文本框文本属性并不prevent XSS攻击,所以我应该怎么办? 将作如下修正解决问题?标签X = Server.HtmlEn code(txtName.Text); 解决方案 我假设你是在谈论一个WebForms的的 标签 - (!真正的后c ..
发布时间:2016-06-15 22:25:34 C#/.NET

白名单,preventing XSS在C#控制大规模杀伤性武器

有没有用,我在这里做了什么什么问题?这是我第一次处理这样的事情,我只是想确保我了解所有的风险等,以不同的方法。 我使用大规模杀伤性武器,以获取用户输入的,而我用文字控制显示它。 因为它是不可编辑一旦进入我要存储HTML而不是降价, 输入= Server.HTMLEn code(stringThatComesFromWMDTextArea) 然后运行类似的标签我希望用户能够使用下面的。 / ..
发布时间:2016-06-14 22:17:57 C#/.NET

在ASP.NET脚本漏洞 - 是否设置validateRequest ="真"好建议?

我正在阅读有关 ASP.NET脚本侵入,一的建议是:结果(重点是我的;而建议是#3部分“有效防范脚本漏洞 “在网页) 如果你希望你的应用程序接受一些HTML(例如,从用户的一些格式化指令),你应该连接code。在客户端HTML之前被提交到服务器。有关详细信息,请参阅如何通过应用HTML编码字符串防止脚本侵入在一个Web应用程序。 这不是非常糟糕的建议的?我的意思是,剥削者可通过卷曲或 ..
发布时间:2016-06-12 18:55:53 C#/.NET

是不是危险的,如果我设置ValidateRequest假?

我用在我的asp.net项目的一些web表单FreeTextBox HTML编辑器。如果我不ValidateRequest属性设置为false我得到这个错误: 从客户端检测到有潜在危险的Request.Form值 这是在管理文件夹OK虽然,因为只有授权用户才能访问与它合作。但如何对公共页面一样,每一个用户都可以访问发表评论(使用FreeTextBox收集用户评​​论)的部分?是不是有风 ..
发布时间:2016-06-12 18:19:40 C#/.NET

preventing Javascript和跨站脚本攻击

我XSS-打样我公司网站了解javascript和XSS攻击。这是写在ASP.NET Web表单。 我想测试的主要部分是具有一个文本框(TinyMCE的连接到它)的用户控制。 用户可以在这个文本提交书面故事的网站。我必须设置 validateRequest 为false,因为我想获得用户的故事,故事中HMTL(TinyMCE的)。 我应该怎样prevent JavaScript的XSS攻击? ..
发布时间:2016-06-11 23:10:54 C#/.NET