存储的 xss 和反射的 xss 有什么区别?
我无法理解存储的 xss 和反射的 xss 之间的区别是什么.能举个例子吗? 解决方案 Stored XSS 意味着某些 持久性 数据(通常存储在数据库中)没有在页面中清理,这意味着每个人都可以受漏洞影响.例如,想象一个论坛,用户发布的答案不会被转义.如果有人发布带有一些 HTML 的主题,那么访问该主题页面的每个人都会受到影响!风险通常很重要,因为它会影响所有用户并且可以迅速传播(典型的
..
xss相关内容
清理 URL 以防止 Rails 中的 XSS
在 rails 应用程序中,用户可以创建事件并发布一个链接到外部事件站点的 URL. 如何清理网址以防止 XSS 链接? 提前致谢, Rails 的 sanitize 方法无法阻止的 XSS 示例 @url = "javascript:alert('XSS')"测试链接 解决方案 一旦 href 已经在如下标
..
回显变量时防止 XSS 攻击
当我在 PHP 中回显变量时,我需要防止 XSS 攻击. 例如,假设我的数据库中有两个值,一个是用户名,另一个是电子邮件地址. $用户名$email 所以现在我想在我的 HTML 中使用这些变量时防止 XSS 攻击. 我使用 htmlspecialchars() 尝试了类似的方法 - 编辑用户 这是从上面PHP 呈现的HTML 编辑用户test_user(
..
href安全,防止xss攻击
点击我//没有http会受到攻击点击我 我有一个网络应用程序为用户提供输入以添加他们的网站. 但是我考虑安全问题,我做了测试.如果我添加了 http://,它就不会运行 javascript.我的问题是我还需要为 href 安全做
..
要使用哪个 html 清理库?
我正在开发一个功能,用户可以在其中输入有效的 html 标记和 css 并呈现用户网页.问题是我正在使用 OWASP AntiSamy Java 库,它剥离了大部分现代 HTML5 标签和 CSS3 属性.我查看了策略文件,它已经过时了.我一直在查看其他消毒库,如 HTML Sanitizer 和 Google Caja,但我觉得它没有做任何额外的事情.当您发现剥离有效标签和样式的问题时,您仍然需
..
Spring security 中的 Xss 保护是否默认启用?
我想在我的应用程序中启用 Spring Security XSS 保护. 1) 阅读文档和博客,以及 https://spring.io/blog/2013/08/23/spring-security-3-2-0-rc1-highlights-security-headers/ 表示存在 XSS默认 2) 和 http://docs.spring.io/spring-security/
..
在 HTML 元素中防止 XSS
以下是否足以防止来自 HTML 元素内部的 XSS? 函数 XSS_encode_html ( $str ){$str = str_replace ( '&', "&", $str );$str = str_replace ( '
..
如何在没有 SpringBoot 的情况下为 Spring MVC 4 应用程序阻止或防止 XSS
您如何保护和清理采用原始 JSON 主体并通常输出 JSON 响应且不使用 Spring Boot 的应用程序.我只看到了一个可能有效并使用 JsonComponent 的好例子.如果我们不使用 jsoncomponent,如何从整个 JSON 请求正文中过滤掉一个请求以删除错误的跨站点脚本标记?此外,检测请求正文中的 XSS 标记并抛出错误也是可以的. 还要寻找一种全球解决方案,可以保护
..
我是否应该将 ENT_QUOTES 与 htmlspecialchars 一起使用
我正在使用以 UTF-8 运行的 php 5.4.4,我不确定我是否正确使用 htmlspecialchars. 我的字符串/变量如下所示: $text = "
By: ".htmlspecialchars($foo)."
";回声 $text; 我是否需要使用 ENT_QUOTES 或者只有在我必须回显某些内容时
..
HTML Purifier - 更改默认允许的 HTML 标签配置
我想允许用户可以在我的论坛中使用有限的 HTML 标记白名单.所以我像这样配置了 HTML Purifier: $config = HTMLPurifier_Config::createDefault();$config->set('HTML.Allowed', 'p,a[href|rel|target|title],img[src],span[style],strong,em,ul,ol,li
..
XSS:使用 PHP 的 json_encode 创建一个 javascript 对象
这对 XSS 是否 100% 安全?如果不是,请提供示例错误字符串文本,向我说明为什么不是.
..
JavaScript - 跨站点脚本 - 权限被拒绝
我有一个网络应用程序,我正在尝试使用 Twitter 的 OAuth 功能.此应用程序有一个链接,提示用户输入其 Twitter 凭据.当用户单击此链接时,将通过 JavaScript 打开一个新窗口.该窗口用作对话框.这是这样完成的: 主页:
..
如何安全地使用 fckEditor,没有跨站脚本的风险?
此链接描述了使用 fckEditor 对我的应用程序的利用:http://knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html 如何在仍然使用 fckEditor 的同时使我的应用程序安全?它是 fckEditor 配置吗?从 fckEditor 获取文本后,我应该在服务器端进行一些处理吗? 这是一个难题,因为 f
..
修改此标记的 htmlpurifier 允许标签
我的 html 净化器设置现在只允许这些标签 $configuration->set('HTML.Allowed', 'p,ul,ol,li'); 我想允许缩进列表,我的编辑器使用这个 html 我应该如何更改 HTMLPurifier Allowed 标签?我想添加 style,但我认为最好明确指定允许的样式,在这种情况下是 margin-left.更改 HTML 的正确方法是什么.
..
如何修复Java中反映的XSS
我从下面的第二行得到了显示 XSS 反射缺陷的强化报告. String name = request.getParameter("name"); response.getWriter().write("Name: " + name); 给出的建议:显示给 Web 客户端的所有用户输入都应进行 HTML 编码和验证.这是 Java 代码,我不确定如何解决这个问题. 解决方案
..
跨站脚本注入
我正在测试一个网络应用程序.我想编写一个 XSS 脚本来显示警报 "Hello". 我写的第一个脚本是: alert("Hello"); 但是没有显示警报"Hello".我发现有效的 XSS 脚本是 alert(String.fromCharCode(72,101,108,108,111,33)) 我想知道为
..
防止 XSS 漏洞的措施(就像几天前 Twitter 的一个)
即使是像 Twitter 这样的知名网站也存在 XSS 漏洞,我们应该怎么做才能防止这种攻击? 解决方案 您可以做的第一件事是将您的 cookie 设置为 HTTP Only ......这至少可以防止会话 cookie 劫持.就像有人在您可能是您自己网站的管理员时窃取了您的 cookie. 剩下的就是验证所有用户输入. 规则 #0 - 切勿在允许的位置之外插入不受信任的数据
..
使用 asp.net mvc 实现输出编码以防止应用程序级别的 Xss 攻击
我没有任何代码可以在这里发布.我只想在应用程序级别应用输出编码.以便对每个操作方法的输出进行编码并显示在 UI 上.我正在寻找一种解决方案,可以通过覆盖 asp.net mvc 中的过滤器来实现这一点.提供的任何示例代码都会有所帮助.提前致谢 解决方案 如果您使用的是 razor 页面,那么您无需担心 html 编码,为了防止 xss,您可以使用 Antiforiegn() .... 这里
..
防止 XSS 但仍然允许在 PHP 中使用一些 HTML
我想阻止 XSS 攻击,但我仍然希望允许像 和 YouTube 视频播放器这样的 HTML 标签.我不想对 XSS 攻击开放.我正在使用 PHP. 解决方案 我推荐使用htmlpurifier,它是最过滤html的安全工具. 我建议你也阅读这个 对用于 php 的 HTML 清理工具的出色分析.
..
处理 XSS 的方法(最佳实践)是什么?
我正在使用 ASP.NET,并且在 ASP.NET 页面上具有用于检查 XSS 验证的验证属性.但是我想知道这真的足够吗? 我访问了一些关于 stackoverflow 的相关帖子,这对我有帮助,但我想了解在开发网站时如何规划 XSS? 我们是否必须在客户端检查 XSS,也必须检查 AJAX?怎么做 ?有没有什么工具可以帮助测试XSS? 谢谢, 解决方案 这些是基础:
..