xss相关内容
如果我能解决我和一些同事之间的分歧,我将不胜感激. 我们有一个典型的 PHP/LAMP 网络应用程序. 我们希望用户提供的唯一输入是纯文本.我们在任何时候都不会邀请或希望用户输入 HTML.表单元素大多是基本的输入文本标签.可能会有一些文本区域、复选框等. 目前没有清理输出到页面.所有动态内容,其中一些来自用户输入,只是简单地回显到页面上.我们显然需要确保安全. 我的解决方
..
之前有人问过这个问题,但我需要 100% 澄清这个问题,因为这对我来说很重要. 情况:网站上的消息系统.用户在文本框中输入一条消息,他们提交表单并将其输入到数据库中.然后可以从数据库中调用这些数据,并在 标签中显示给另一个用户. 我需要采取哪些安全措施来防止这些数据被恶意使用?我已经使用 mysql_real_escape_string 来停止任何注入,而 strip_tags 似乎很
..
在 ASP.NET 中我们有请求验证,但在 ASP.NET Core 中没有这样的东西. 我们如何才能以最佳方式保护 ASP.NET Core 应用程序免受 XSS 攻击? 请求验证消失:https://nvisium.com/resources/blog/2017/08/08/dude-wheres-my-request-validation.html- 这家伙推荐在 Models
..
我只是在创建一个注册表单,我只想将有效且安全的电子邮件插入数据库. 一些网站(包括 w3schools)建议在运行 FILTER_VALIDATE_EMAIL 之前运行 FILTER_SANITIZE_EMAIL 以确保安全;但是,这可能会将提交的电子邮件从无效电子邮件更改为有效电子邮件,这可能不是用户想要的,例如: 用户的电子邮件地址是 jeff!@gmail.com,但不小心插入了
..
有人可以向我展示对我的浏览器有效的跨站点脚本攻击吗?互联网上有没有这样做的例子?我在网上没找到这个. 示例越简单越好. 解决方案 参见 http://www.insecurelabs.org 和
..
是否有一个好的、积极维护的 python 库可用于过滤恶意输入,例如 XSS? 解决方案 如果您使用的是 Web 框架和像 Jinja2 这样的模板引擎,那么模板引擎或框架可能会为此内置一些东西. cgi 模块中有一些东西可以帮助您: cgi.escape('这里的恶意代码'),参见:http://docs.python.org/library/cgi.html#cgi.esc
..
为基于 Python 的 Web 应用程序清理用户输入的最佳方法是什么?是否有一个函数可以删除 HTML 字符和任何其他必要的字符组合以防止 XSS还是 SQL 注入攻击? 解决方案 这里是一个片段,它将删除所有不在白名单上的标签,以及所有不在属性白名单上的标签属性(所以你不能使用 点击). 它是http://www.djangosnippets.org/snippets/205/,
..
Microsoft Web 保护库 (AntiXSS) 已终止使用.该页面指出“在 .NET 4.0 中,框架中包含了一个 AntiXSS 版本,可以通过配置启用.在 ASP.NET v5 中,基于白名单的编码器将是唯一的编码器." 我有一个经典的跨站点脚本场景:一个 ASP.Net Core 解决方案,用户可以在其中使用 WYSIWYG html 编辑器编辑文本.结果显示给其他人看.这意味
..
有人可以用简单的英语解释 XSS 是如何工作的吗?也许举个例子.谷歌搜索没有多大帮助. 解决方案 Cross Site Scripting 基本上是动态网页的一个安全漏洞,攻击者可以通过该漏洞创建恶意链接,将不需要的可执行 JavaScript 注入网站.当 GET 变量在没有过滤或检查其内容的情况下被打印或回显时,会发生此漏洞的最常见情况. 当受害者点击链接时,恶意代码可以将受害者
..
跨站脚本(XSS)是一种类型计算机安全漏洞通常在 Web 应用程序中找到这使恶意攻击者能够将客户端脚本注入 Web其他用户查看的页面.一个被利用的跨站脚本攻击者可以利用漏洞绕过访问控制,例如同源政策.跨站在网站上进行的脚本编写是大约 80% 的安全性赛门铁克记录的漏洞截至 2007 年. 好的,这是否意味着黑客在访问具有未转义输入的合法网站时制作了一些恶意的 JS/VB 脚本并将其传送给毫无
..
我正在开发一个 nodejs 服务器,它将与客户端移动应用程序进行交互.我在服务器上遇到了一些称为 XSS 和 XHR 的攻击.我遇到了一个名为 node-validator 的模块,它对处理和验证输入很有用.我需要知道 XSS 和 XHR 攻击是否具有相同的效果,以及该模块是否对两者都有用.关于此的任何想法都会非常有帮助. 解决方案 如果你使用 expressjs/connect 那么有
..
我的网站使用 WYSIWYG 编辑器供用户更新他们的帐户、输入评论和发送私人消息. 编辑器 (CKEditor) 非常适合只允许用户输入有效输入,但我担心通过 TamperData 或其他方式注入. 如何在服务器端控制这个? 我需要将特定标签列入白名单:
,这是否是一种安全的方法来防止XSS? 解决方案 使用 HTML Puri
..
我试图通过模拟点击下载按钮来使用 selenium 下载文件,但 Chrome 报告 ERR_BLOCKED_BY_XSS_AUDITOR.如果我使用 "--disable-xss-auditor" 参数绕过,页面将被重新加载并且不会下载任何内容.令我感到奇怪的是,当我在甚至由 selenium 控制的 Chrome 会话中实际用鼠标下载文件时,文件下载得很好. 请帮我理解xss audit
..
我现在处于 Vue Documenteation about Raw HTML 状态我们可以使用 v-html 来渲染一些内部的 html.我承认这是合法且最简单的技巧,但由于我非常担心,我无法停止思考是否可以在网络项目中安全地使用它.假设我使用这个 v-html 仅用于渲染一些 html 标签,例如 br、span 等. 但在文档中他们清楚地说明如下: 在您的网站上动态呈现任意 HT
..
给定以下两个 HTML/PHP 片段: 和 我需要为回显的 $_POST 变量使用什么字符编码?我可以使用任何内置的 PHP 函数吗? 请假设 $_POST 值还没有被编码.没有魔术引号 - 什么都没有. 解决方案 使用 htmlspecialchars($_POST['firstname']) 和 htmlspecialchars($_POST['content']).
..
我正在处理一个宠物项目,需要克服应用程序中的一个主要障碍.我查了无数论坛和文章,只找到了我要找的零零碎碎的东西,所以我希望更直接的方法能帮到我. 场景如下:1. 该站点实际上是一个游戏,它在具有多个 IFRAMES 的页面上使用 Javascript/JSON 和 DHTML - 其中两个位于外部页面的更深处和一个单独的域中. 我正在尝试做的事情没有安全问题.所有编程和访问仅限于简化和
..
我有php脚本,当我执行这段代码时,我收到警告 警告:trim() 期望参数 1 是字符串,数组在 home/public_html 中给出 我为安全漏洞添加了 antixss 功能,如下面的代码.我该如何解决这个警告? 我该如何解决这个警告?谢谢 解决方案 错误似乎是在您的 html 中,而不是在 php 中. 如果 $_POST['First_Name'] 是一
..
使用 Vue,我想显示一个确认模式,上面写着“您确定要删除 '{{itemName}}' 吗?". 通过将 Javascript 字符串绑定到嵌入在模板中的变量,这很容易. 但是,如果我想将 itemName 放在斜体中以强调它,我能找到的唯一方法是使用 v-html,这当然会打开它高达 XSS. 有没有办法对字符串的一部分进行样式设置? 解决方案 你可以尝试使用像 消毒
..
我想写一个 html sanitiser,显然是为了测试/证明它可以正常工作,我需要一组 XSS 示例来对抗它以查看它的性能.这是一个编码恐怖的好例子 "/>
..
我需要尽可能集中地防止 XSS 攻击,这样我就不必明确地清理每个输入. 我的问题是在 URL/请求处理级别清理所有输入、在提供服务之前对输入进行编码/清理还是在表示级别(输出清理)更好?哪个更好,为什么? 解决方案 您需要注意以下两个方面: 您在任何语言(尤其是 SQL)中将输入用作脚本的一部分的任何地方.在 SQL 的特殊情况下,唯一推荐的处理方式是使用参数化查询(这将导致未
..