尖括号 mysql php
当 VARCHAR 字段内的文本被尖括号(' 描述信息;+--------------+--------------------+------+-----+---------+-------+|领域 |类型 |空 |钥匙 |默认 |额外 |+---------
..
xss相关内容
如何解决OWASP ZAP报告的“alert(1);"XSS 漏洞
针对我们的应用程序运行 OWASP ZAP 扫描工具后,当该工具使用此字符串进行攻击时,我们发现了许多 XSS 漏洞: " onMouseOver="alert(1); 或 ;alert(1) 所以这样的字符串会出现在服务器响应中.虽然它在浏览器中没有做任何事情.可能是想给Html标签插入额外的属性,但是怎么解决? 解决方案 如果您可以发布有关注入攻击的 html,那么这可能就足够
..
防止 javascript GET 和 Script
是否有任何限制 Javascript Get、Post 请求到指定域的方法?我也可以以某种方式禁用 JSONP 吗? 我想开发一个 Web 内容框架,让人们可以在不同的页面中包含 javascript,但我不希望这些脚本访问任何其他域. 我熟悉 firefox 的“内容安全策略",但不幸的是,这只适用于 firefox. 解决方案 默认情况下它是“禁用的".如果要“允许"jso
..
PHP 表单提交会导致整个文件刷新吗?
将使用 导致用户点击提交时整个页面刷新?还是只是 PHP 部分? 解决方案 页面通常会在提交表单后重新加载以显示提交后收到的回复形式. 为了防止这种情况,您有两种方法: 在表单标签中使用target=_blank 使用 event.preventDefault(); 来阻止表单的默认操作,然后使用 fetch 手动发送数据,或者如果您使用 JQuery,您可能会使
..
HttpServletRequest - 编码 url 和隐藏字段参数的快速方法
在我的 Java 应用程序中,我正在防止 XSS 攻击.我想在我处理的 HttpServletRequest 对象中编码 URL 和隐藏字段参数. 我该怎么做? 解决方案 不要那样做.你让它变得不必要地复杂.仅在显示期间将其转义.请参阅我在您的其他主题中的回答:Java 5 HTML 转义以防止XSS
..
逃避用户生成的内容 - 这是什么意思?
我开始使用 Google 的分享按钮.我实际上正在使用共享链接,并且在文档中的某个时候它说: 注意:将 {URL} 替换为您要共享的页面的 URL.你必须正确地转义任何可能出现的用户生成的内容{网址} 这是什么意思,我该如何逃避? 解决方案 转义意味着您将可能有害的字符转换为对计算机无害的字符进行翻译. 例如: url = "doSomeNastyStuff();";
..
如何使用 Rails 在标题标签上显示一些 HTML 实体
我正在运行 Rails 4.2.x,但遇到以下问题. 某些页面的 是根据用户内容生成的.所以我必须使用 sanitize Rails 助手来正确清理它. 但是如果用户写了类似“A&B"的东西,浏览器中显示的标题是A&B 这是错误的. 使用 Rails 转义 标签上的用户内容的正确方法是什么?至少应该包含一些特殊字符... 解决方案 我们可以使用 CGi还有 ti
..
JS 中的括号替代方案,如果有的话?
我在客户端的应用程序中发现了跨站点脚本漏洞.问题在于易受攻击的参数不接受括号.所以像 alert(document.cookie) 这样的东西会因为括号而被拒绝.我可以使用 alert `xss` 获得 XSS,但我的客户需要能够访问 DOM 的证明. 换句话说,我如何在没有括号的情况下alert(document.cookie),还有其他选择吗? 谢谢! 解决方案 docum
..
防止跨站点脚本攻击?
我们最近与 hikashop 建立了一个网站 (http://www.doverjewelry.com/),该域具有 Godaddy 网站保护,因此它会扫描网站并针对漏洞发出警告.扫描当前报告该网站容易受到跨站点脚本攻击.这是扫描输出: 使用 GET HTTP 方法,Site Scanner 发现:+ 以下资源可能容易受到 XSS 攻击(在参数名称上):/bands-and-settings
..
为什么这是 XSS 攻击以及如何防止这种攻击?
我有这个 php 代码,我的 CMS 安全自动测试显示这是一次 XSS 攻击.为什么以及如何解决此问题? $url = "news.php";如果 (isset($_GET['id']))$url .= "?id=".$_GET["id"];echo "新闻"; 解决方案 这是 XSS(跨站点脚本),因为有人可以这样称呼您: ?id='>
..
ng-bind-html 不会阻止跨站点脚本
我使用 ng-bind-html 来防止跨站脚本,阅读 sanitize 并找到 此讨论 和 另一个很好的讨论. 虽然,我没有为我工作,你能帮我找出原因吗? HTML: JS: $scope.to_trusted = function(html_code) {返回 $sce.trustAsHtml(html_code);}; 当我添加以下行时 并将其添加到消息中,我可
..
如何从 iframe 读取父页面的页面标题?
我有一个页面调用另一个页面(在另一台服务器上),我希望该页面从父页面读取标题.这是可能的还是有一些安全问题? 解决方案 你不能像那样跨服务器通信.
..
服务器 XSS 与客户端 XSS
服务器 XSS 和客户端 XSS 之间的区别的明确解释是什么? 我在 OWASP 的网站上阅读了说明,但对我来说不是很清楚.我知道反射的、存储的 DOM 类型. 解决方案 首先,为了让其他人发现问题,我们有来自 OWASP 跨站脚本类型页面: 服务器 XSS 当不受信任的用户提供的数据包含在服务器生成的 HTML 响应中时,就会发生服务器 XSS.的来源此数据可能来自请求
..
PHP:如何完全防止 XSS 攻击?
如何完全防止 PHP 中的 xss 攻击?这是假设我不关心任何 HTML 标签或其他格式.仅运行 strip_tags 并使其完全安全就足够了吗? 解决方案 htmlspecialchars() 和 strip_tags() 都被认为可以安全地清理用户输入以输出到HTML 页面. 相关: strip_tags() 是否容易受到脚本攻击?立>
..
XSS javascript,漏洞利用检查
我目前正在处理一个页面,我需要用户输入几个变量,然后在整个页面中显示这些变量. 问题是,它需要是 100% 安全的代码,虽然我可以使用 PDO/mysql 等,但 javascript 不是我非常熟悉的东西. 目前,我有以下几点: 函数显示输入(){document.getElementById('var1').innerText =document.getElementById("
..
PHP 脚本中的 XSS 漏洞
我一直在四处寻找,试图找到解决方案.我最近一直在我们的网站上运行扫描,以查找 XSS 和 SQL 注入的任何漏洞.有些项目引起了我的注意. 用户输入的任何数据现在都使用 filter_var() 进行验证和清理. 我现在的问题是 XSS 和操纵 URL 的人.似乎无处不在的简单方法是: http://www.domainname.com/script.php/">a
..
防止xss攻击的更好方法
这两种方法中哪一种是防止 xss 攻击的更好方法? 保存在 db 中的 HTMLEntities 显示/回显时的 HTMLEntities 我觉得第一个更好,因为您可能会在显示时忘记添加它. 解决方案 这两者中哪一个是防止xss攻击的更好方法. 保存在 db 中的 HTMLEntities 显示/回显时的 HTML 实体 2 — 您应该在最后一刻转换为目标格
..
ValidateRequest 错误或 SQL Server 错误?
我正在阅读这篇文章.它说: 该字符以值 %uff1c 表示.如果将此值传递给 SQL 数据库中的 varchar 字段,它将被转换为真正的
..
urlencode() 是否可以防止 XSS
$address 和 $cityState 是用户提供的,存储在数据库中,可供其他人查看,如下所示.是否存在 XSS 的风险?htmlspecialchars() 也应该用在上面吗?
..
我什至需要`htmlspecialchars()`作为textarea的值吗
我有staff.php页面,其中包含员工的姓名、职位和详细信息.当用户需要编辑员工信息时,他们将被发送到edit.php页面.edit.php 页面在 text field 上显示名称和标题,在 textarea 上显示详细信息 我的问题是,我什至需要 edit.php 页面中的 htmlspecialchars.我没有向用户页面打印任何内容,仅在该字段上打印.但我是在打印给用户之前,在 st
..