xss相关内容

如何跨域使用 window.postMessage?

window.postMessage 的重点似乎是允许安全通信在不同域上托管的窗口/框架之间，但它实际上似乎并不允许在 Chrome 中. 场景如下: 嵌入 (在域 B* 上具有 src)在域 A 上的页面 最终主要是一个标签，最后执行... 我调用 window.postMessage( some_data, page_on_A ) 绝对是在域 B ..

发布时间：2021-12-10 14:56:47 javascript html google-chrome xss 前端开发

Codeigniter - 在发布的基础上禁用 XSS 过滤

我正在尝试在网站的背面设置一个 CMS，但是只要帖子数据中有 input->post('content', true); - 开启，但如何关闭? 谢谢大家. ..

发布时间：2021-12-10 13:30:47 codeigniter xss 其他开发

CodeIgniter - 为什么使用 xss_clean

如果我正在清理我的数据库插入，并转义我用 htmlentities($text, ENT_COMPAT, 'UTF-8') 编写的 HTML - 是否还有必要过滤输入使用 xss_clean?它还有什么其他好处? 解决方案 xss_clean() 很广泛，也很愚蠢.这个函数的 90% 对防止 xss 没有任何作用.例如寻找词alert 而不是document.cookie.没有黑客会在他们 ..

发布时间：2021-12-10 13:19:58 php html security codeigniter xss PHP

将变量从 ejs 传递到 javascript(渲染时服务器到客户端)，同时避免 XSS 问题

使用 ejs 将变量传递给 JavaScript 的公认方式是这样的: var foo = ; 但是我在使用这种方法时遇到了 XSS 问题，想知道是否有更好/更安全的方法. 这个例子展示了这个漏洞. 这是有效的，因为 JSON.stringify("alert('test')") 返回 " ..

发布时间：2021-12-09 13:47:16 javascript node.js express xss ejs 前端开发

如何防止人们在 Spring MVC 中进行 XSS?

我应该怎么做才能防止 Spring MVC 中的 XSS?现在我只是把我输出用户文本的所有地方都放在 JSTL 标签或 fn:escapeXml() 函数中，但这似乎容易出错我可能会错过一个地方. 是否有一种简单的系统方法可以防止这种情况发生?也许像过滤器之类的?我通过在控制器方法上指定 @RequestParam 参数来收集输入. 解决方案 在 Spring 中，您 ..

发布时间：2021-12-03 17:24:50 spring jsp spring-mvc xss html-escape-characters 其他开发

跨站 AJAX 请求

我需要从网站向托管在另一个域中的 REST 网络服务发出 AJAX 请求. 尽管这在 Internet Explorer 中运行良好，但其他浏览器(例如 Mozilla 和 Google Chrome)施加了更严格的安全限制，禁止跨站点 AJAX 请求. 问题是我无法控制站点所在的域和 Web 服务器.这意味着我的 REST Web 服务必须在其他地方运行，而且我无法设置任何重定向机制 ..

发布时间：2021-12-03 12:31:52 javascript ajax security xss 前端开发

为什么跨域 Ajax 是一个安全问题?

为什么决定使用 XMLHTTPRequest 进行 XML 调用不应跨越域边界进行调用?您可以从其他域中检索 JavaScript、图像、CSS、iframe 以及我能想到的任何其他内容.为什么 Ajax HTTP 请求不允许跨域边界?考虑到我看到它被滥用的唯一方式，这似乎是一个奇怪的限制，如果有人将 Javascript 注入页面.但是，在这种情况下，您可以简单地向文档添加一个 img、脚本或 ..

发布时间：2021-12-03 12:18:31 ajax security xss 前端开发

警告:清理不安全的样式值 url

我想在我的 Angular 2 应用程序的组件模板中设置 DIV 的背景图像.但是，我的控制台中不断收到以下警告，但没有得到预期的效果...我不确定动态 CSS 背景图像是否由于 Angular2 中的安全限制或我的 HTML 模板损坏而被阻止. 这是我在控制台中看到的警告(我已将 img url 更改为 /img/path/is/correct.png: 警告:清理不安全的样式值 url ..

发布时间：2021-12-02 20:24:47 typescript angular xss 其他开发

htmlspecialchars 和 mysql_real_escape_string 是否可以防止我的 PHP 代码被注入?

今天早些时候有人问了一个关于 网络应用中的输入验证策略. 在撰写本文时，最佳答案建议在 PHP 中仅使用 htmlspecialchars 和 mysql_real_escape_string. 我的问题是:这总是足够的吗?还有更多我们应该知道的吗?这些功能在哪里分解? 解决方案 当涉及到数据库查询时，总是尝试使用准备好的参数化查询.mysqli 和 PDO 库支持这一点.这比 ..

发布时间：2021-12-01 10:53:56 php security xss sql-injection PHP

在 PHP 站点中避免 xss 攻击的最佳实践是什么

我对 PHP 进行了配置，以便打开魔术引号并关闭注册全局变量. 对于我输出的任何源自用户输入的内容，我都会尽我最大的努力始终调用 htmlentities(). 我偶尔也会在我的数据库中搜索在 xss 附件中使用的常用内容，例如... 我还应该做什么以及我如何确保我正在尝试做的事情总是完成. 解决方案 转义输入并不是成功预防 XSS 的最佳方法.还必须对输出进行转义.如果 ..

发布时间：2021-12-01 10:46:49 php security xss PHP

如何使用 HTML/PHP 防止 XSS?

如何仅使用 HTML 和 PHP 来防止 XSS(跨站点脚本)? 我已经看过许多关于这个主题的其他帖子，但我还没有找到一篇清晰简洁地说明如何实际防止 XSS 的文章. 解决方案 基本上需要用到htmlspecialchars() 每当您想将来自用户输入的内容输出到浏览器时. 正确使用这个函数的方法是这样的: echo htmlspecialchars($string, ENT ..

发布时间：2021-12-01 10:13:06 php xss PHP

如何使用 PHP 清理用户输入?

是否有一个包罗万象的功能可以很好地清理用户输入以应对 SQL 注入和 XSS 攻击，同时仍然允许某些类型的 HTML 标签? 解决方案 认为可以过滤用户输入是一个常见的误解.PHP 甚至有一个(现已弃用)“功能"，称为 magic-quotes，建立在这个想法之上.这是胡说八道.忘记过滤(或清洁，或任何人们所说的). 为了避免出现问题，您应该做的很简单:每当您将一段数据嵌入到外部代码 ..

发布时间：2021-12-01 10:11:08 php security xss sql-injection user-input PHP

错误:访问属性“文档"的权限被拒绝

我有一个包含 iframe 的 HTML 文档.每当我尝试使用 JS 访问或修改此 iframe 时，我都会收到 Error: Permission denied to access property "document". 我正在使用 frame.contentWindow.document.body.innerHTML 或 frame.contentWindow.document.bod ..

发布时间：2021-11-26 18:39:26 javascript html iframe xss access-control 前端开发

JSP/Servlet Web 应用程序中的 XSS 预防

如何防止 JSP/Servlet Web 应用程序中的 XSS 攻击? 解决方案 在 JSP 中可以使用 JSTL 标签或 fn:当(重新)显示用户控制的输入时，escapeXml() EL 函数.这包括请求参数、标头、cookie、URL、正文等.您从请求对象中提取的任何内容.此外，存储在数据库中的先前请求的用户控制输入需要在重新显示期间进行转义. 例如: ..

发布时间：2021-11-25 10:57:00 java security jsp servlets xss Java开发

JSP/Servlet Web 应用程序中的 XSS 预防

如何防止 JSP/Servlet Web 应用程序中的 XSS 攻击? 解决方案 在 JSP 中可以使用 JSTL 标签或 fn:当(重新)显示用户控制的输入时，escapeXml() EL 函数.这包括请求参数、标头、cookie、URL、正文等.您从请求对象中提取的任何内容.此外，存储在数据库中的先前请求的用户控制输入需要在重新显示期间进行转义. 例如: ..

发布时间：2021-11-19 22:37:24 java security jsp servlets xss Java开发

覆盖 Array 构造函数不会影响 []，对吗?

我刚刚读到:http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx 我的印象是覆盖 Object 或 Array 仅在您选择使用时才有效创建数组/对象时的构造函数，但是，根据那篇文章，它也对文字创建({} 和 [])... 我的逻辑: Array = function(){ a ..

发布时间：2021-11-18 03:39:23 javascript security arrays xss 前端开发

单独使用 nginx 的简单 CSRF 保护

我有一个 nginx 服务器，提供纯 HTML 和 JS 文件. js 代码然后调用各种 REST API 来从 API 服务器获取/发布数据. 如果 nginx 收到对/api/location 的请求，它会将请求转发到另一个处理所有 API 的服务器.这个 api 服务器是用 Ruby on Rails 构建的. 由于我所有的纯 HTML 页面都是由 nginx 直接交付的， ..

发布时间：2021-11-17 02:29:01 security architecture xss csrf csrf-protection 其他开发

使用 JavaScript 动态加载 JavaScript

经过一个多小时的尝试使其正常工作后，我认为这是因为跨域策略，但我真的认为这会起作用.我也找不到很多关于它的信息.但是，这是我的问题.我有一个名为 http://mysite.com 的网站，然后我包含了一个 3rd 方脚本(我写的)及其在 http://supercoolsite.com/api/script.js 并且这个脚本需要动态加载谷歌地图 api:http://maps.google.c ..

发布时间：2021-11-15 01:34:37 javascript security api google-maps-api-3 xss 前端开发

如何在 Jersey 2 中修改 QueryParam 和 PathParam

我正在尝试过滤/修改 Post 和 Put 调用，以确保从 HTML 和 JS 代码中过滤掉用户提供的所有参数，以防止 XSS 攻击.我想确保这是在 API 级别实现的，因此无论使用什么客户端，它都会受到保护. 在 Jersey 1.x 中，这可以通过在它们与请求的 servlet 匹配之前实现 ContainerRequestFilter 并修改 request.getQueryParam ..

发布时间：2021-11-15 00:26:56 java api rest jersey xss Java开发

angularjs + 跨站脚本防止

Angularjs 是否负责 XSS 攻击.我已经读过 ng-bind 会照顾.但是当我尝试做一个示例来测试它时，它允许我使用 ng-model 在输入类型中插入 html 标签......它没有转义 Html 标签. 我的页面中有很多 input 元素，它们与 ng-model 绑定，我该怎么做才能确保如果我输入了 html 标签，angular 会忽略 html/scrip 标签. ..

发布时间：2021-11-09 03:48:59 angularjs xss cross-site 其他开发