xss相关内容

Ajax控件工具包编辑器控制 - 避免XSS攻击

我这文章注意到， Microsoft不建议使用从Ajax控件工具包编辑器控制的，因为跨站点脚本攻击的危险性公共场所。我尝试过了，即使你专门设置的NoScript =“真”这是可能添加脚本，因此，引入XSS攻击漏洞。在我的情况，我们正在研究奖学​​金申请过程中，我们曾希望用这个来所有被提名人，高达上线的文章。我们想借此数据，并重新显示到审查委员会，但很明显，这是一个坏主意。 所以我想知道如果任何人 ..

发布时间：2016-06-11 21:27:51 asp.net regex xss security html-editor C#/.NET

HTT prequestValidationException和跨站点脚本XSS

使用的Htt prequestValidationException，它一定保护你对所有跨脚本编写的威胁？ 有没有哪里有潜在危险的脚本可能设法不被发现的情况？ 解决方案 没有，总之它没有。使用反射请编译它，看看它做什么。在HTML属性的攻击可能是：“聚焦状态=警报（1）自动对焦 有没有＆LT;或>在这个但它仍然有效。请使用AntiXss并检查OWASP XSS prevention小抄 ..

发布时间：2016-06-10 22:29:48 asp.net security xss C#/.NET

我需要为ASP.NET 4网站的额外XSS安全？

据我了解什么ASP.NET功能以及各种XSS测试我个人的测试，我发现我的ASP.NET 4网站不需要任何XSS prevention。 你认为一个ASP.NET 4.0的网站需要添加任何XSS安全性比它的默认选项？我不能进入任何JavaScript或任何标记成，然后立即打印到页面上，我的文本字段。 解决方案 的免责声明 - 这是基于什么“可信输出”是一个很偏执的定义，但是当涉及到​​网络 ..

发布时间：2016-06-10 21:49:21 asp.net security xss C#/.NET

安全运行时引擎VS AntiXSS库

我看到网页防护库（WPL）配有2种不同的选择： 安全运行时引擎（SRE） AntiXSS库 第一个似乎很大，因为没有code是必要的，这是一个HTTP模块。第二个需要手动添加在code逃跑的逻辑。 尽管这个优势，我提到，SRE是不是很受欢迎，我不知道为什么。没有与此库或者使用我没有看到AntiXSS任何大的优势任何已知问题？ 谢谢！ 解决方案 我在SRE中看到的最大的缺陷 ..

发布时间：2016-06-09 19:18:04 c# asp.net security xss wpl C#/.NET

我该怎么做才能强制浏览器不存储在HTML表单字段的数据？

当HTML表单输入，浏览器如火狐或IE存储值，有时静静地。因此，在另一个web表单打字时，在浏览器巧妙建议相同的信息。显示下拉列表中的另一种方法是双击一个空的文本框。 在一个电子商务网站，客户输入信用卡号码，另一个敏感信息。我该怎么做，以避免或阻止浏览器来存储敏感信息？ 另一个担心是关于存储篡改表单数据（由恶意软件，通过实例）。那么客户可以选择此污染数据和妥协的站点。 问候。 解决方案 ..

发布时间：2016-06-09 18:11:06 asp.net security xss html-form C#/.NET

preventing XSS（跨站脚本）

让我们说我有一个简单的ASP.NET MVC的博客应用，我想，让读者评论添加到博客文章。如果我想prevent任何类型的XSS有心计的，我可以带HTML code所有的意见，让他们渲染时变得无害。但是，如果我想的部分的像超链接，粗体，斜体等基本功能？ 我知道，计算器使用大规模杀伤性武器降价编辑，这似乎是一个伟大的选择是什么，我试图完成，如果不是它支持的事实的两个的HTML和降价这离开它开放的XS ..

发布时间：2016-06-09 18:10:10 asp.net asp.net-mvc security xss C#/.NET

要HTMLEN code或不HTMLEN Web表单（asp.net VB）在code用户输入

我有很多PARAMS弥补例如插入表格： x.Parameters.AddWithValue（“@城”，City.Text） 我今天早上在网站上失败的XSS攻击，所以我想反正以加强保安措施.... 我应该将我的输入PARAMS这样？ x.Parameters.AddWithValue（“@城”，HttpUtility.HtmlEn code（City.Text）） 还有什么我应该考虑避 ..

发布时间：2016-06-09 17:42:07 asp.net security parameters xss html-encode C#/.NET

如何从MCE在ASP.NET净化输入？

有没有在C＃中的效用/函数消毒tinyMCE的富文本的源$ C ​​$ C。我想删除危险的标签，但它们列入白名单安全的HTML标签。 解决方案 我不认为有一个内置的清洁剂，可以使用，但这里是我做过什么，当我有同样的问题C＃。我用它自带的AjaxControlToolkit HtmlAgilityPackSanitizerProvider。 code是这样的： 私有静态AjaxContro ..

发布时间：2016-06-07 21:39:41 c# asp.net tinymce xss C#/.NET

是HTML文本框的值从XSS攻击属性安全吗？

我有一个文本框，在这里我想允许用户在键入潜在危险的字符，如＆LT的能力; 和＆GT; （这是需要我在文本框禁用ASP.NET验证数学EX pression数据输入字段）。数据被存储在数据库中，并稍后用于在网页上显示检索。当我在文本框中显示的数据，我将其设置是这样的： textboxA.Text =前pression; ，其中前pression 来自与数据库有潜在危险的人物。 不管怎样，我试着故 ..

发布时间：2016-06-06 20:46:21 javascript html asp.net xss C#/.NET

在DB或渲染之前存放之前清理HTML？ （在ASP.NET AntiXSS库）

我有一个编辑器，让用户添加存储在数据库中，呈现在网页上的HTML。由于这是不可信的输入，我打算使用 Microsoft.Security.Application.AntiXsSS.GetSafeHtmlFragment 来消毒的HTML。 我应该保存到​​数据库之前或呈现不受信任的输入到网页之前santiize？ 有没有包括我的项目中AntiXSS源$ C ​​$ C，而不是仅仅在DLL中 ..

发布时间：2016-06-05 20:29:59 asp.net xss antixsslibrary html-sanitizing C#/.NET

究竟如何配​​置httpOnlyCookies在ASP.NET？

这CodingHorror文章“保护您的饼干：仅Http ”灵感来​​自 你如何设置该属性？在网络配置的地方？ 解决方案 如果你使用ASP.NET 2.0或更高版本，可以在Web.config文件中打开它。在＆lt;的System.Web＆GT;部分中，添加以下行： ＆LT; httpCookies httpOnlyCookies =“真”/＆GT; ..

发布时间：2016-06-05 19:43:56 asp.net cookies xss httponly C#/.NET

如何prevent XSS（跨站脚本），同时允许HTML输入

我有一个网站，它允许通过 TinyMCE的富文本编辑器的控制输入HTML。它的目的是让用户使用HTML格式文本。 此用户输入则内容被输出到系统的其他用户。 然而，这意味着有人可以插入JavaScript到HTML以执行对系统的其他用户XSS攻击。 什么是从一个HTML字符串过滤掉的JavaScript code的最佳方式？ 如果我进行了常规防爆pression检查＆LT; SCRIPT＆G ..

发布时间：2016-06-05 19:00:18 c# javascript asp.net html xss C#/.NET

是什么AntiXss.HtmlEn code和HttpUtility.HtmlEn code之间的区别？

我只是碰到一个问题，跑了一个答案暗示AntiXss库，以避免交叉站点脚本。听起来很有意思，看完 MSDN博客，这似乎只是提供一个HtmlEn code（ ） 方法。但是，我已经使用HttpUtility.HtmlEn code（）。 为什么我要在HttpUtility.HtmlEn code使用AntiXss.HtmlEn code？ 事实上，我不是第一个问这个问题。而且，事实上，谷歌变成了一 ..

发布时间：2016-06-04 22:47:41 asp.net xss html-encode antixsslibrary C#/.NET

你如何避免XSS漏洞在ASP.Net（MVC）？

最近，我注意到，我在我的应用程序中的大洞，因为我做了一些这样的： ＆LT;输入类型=“文本”VALUE =“＆LT;％=值％GT;” /＆GT; 我知道我应该使用 Html.En code ，但有没有办法做到这一点所有值，而无需显式办呢？ 解决方案 有几种方式： 使用＆LT;％：％GT; 语法ASP.NET MVC2 / .NET 4.0。 （这是只是语法糖 Html.En code ..

发布时间：2016-06-04 21:49:43 asp.net asp.net-mvc xss C#/.NET

覆盖数组构造不影响[]，对吧？

我刚刚看了这样的： ..

发布时间：2016-06-01 20:07:16 javascript security arrays xss 前端开发

动态加载JavaScript的使用JavaScript

在试图得到它的工作我想这是因为跨域的政策，但我真的认为这会工作一小时后。我也不能找到很多关于它的信息的。但是，这里是我的问题。我有一个名为 http://mysite.com 网站，然后我有一个第三方的脚本（什么即时通讯写作）及其在 http://supercoolsite.com/api/script.js 这个脚本需要动态地加载 http://maps.google.com/maps/api： ..

发布时间：2016-05-22 20:34:58 javascript security api google-maps-api-3 xss 前端开发

阿帕奇 - 我可以只用一个Apache代理服务器？

我在一个单一的服务器一堆的子域： a.example.com b.example.com news.example.com 所有这些都在相同的Apache虚拟主机 我需要使用由a和b子内部的消息提供子域的进给。饲料通常是这样的： news.example.com/news/a news.example.com/news/b 在A和B的子域，我使用 jQuery的AJ ..

发布时间：2016-05-21 13:58:02 php apache mod-rewrite cross-domain xss PHP

在Apache / 2.0.52禁用TRACE请求方法

在默认情况下，阿帕奇2.0.52将它接收到的任何HTTP TRACE请求作出响应。这是一个潜在的安全问题，因为它可以允许某些类型的跨站脚本攻击。有关详细信息，请参阅 http://www.apacheweek.com/issues/03-01 -24＃新闻 我想通过以下链接在上面的页面显示的说明禁用TRACE请求。我加code以下行到我的http.conf文件，并重新启动Apache的： R ..

发布时间：2016-05-21 13:41:17 apache xss trace mod-rewrite 服务器开发

如何prevent从评估模板前pressions角

在我的应用程序的用户可以为他们的个人资料提供说明。问题是，我不给，从角像前pressions像限制他们{{一些前pression}} 。这样，我的应用程序是XSS脆弱。是否有可能使角留下元素​​的内容，而不要对其进行评估，即使他们有角的前pressions？ 解决方案 如果它适合你的使用情况，但有是的 ngNonBindable 指令： ＆LT; D​​IV NG-非绑定＆gt;这是一个 ..

发布时间：2016-05-11 22:18:27 angularjs xss JavaScript

有哪些技术部署依赖于一个REST API单页的应用程序？

我建立了从REST API的数据呈现在一个页面应用程序（使用AngularJS）调用它使一个遗留系统。这个遗留系统是非常大的，用Java编写的，并需要几分钟来部署，所以我们决定这将是更具生产力发展的单页应用完全从遗留系统是分开的。 出现的问题，一旦我们试图与遗留系统的REST API进行通信。虽然这两个应用程序是在本地部署到同一台主机，他们被部署在不同的应用服务器，所以我需要通信时使用不同的端口 ..

发布时间：2016-05-10 19:46:03 java rest angularjs xss single-page-application Java开发