xss 第7页 - IT屋-程序员软件开发技术分享社区

如何使用 htmlpurifier 允许传递整个文档，包括 html、head、title、body

给定下面的代码，我如何使用 htmlpurifier 让整个内容通过.我想允许整个 html 文档但 html、head、style、title、body 和 meta 被删除. 我什至尝试过 $config->set('Core.ConvertDocumentToFragment', false) 但这没有用. 任何关于从哪里开始的帮助将不胜感激. 我在这里尝试了示例 HTML ..

发布时间：2021-09-03 19:57:03 symfony xss htmlpurifier 其他开发

XSS 基本理解

我正在使用 Symfony2/Twig/Doctrine. 我正在关注我网站的安全性，特别是防止 XSS 攻击，但我看不出我还能做些什么. 持久我使用 Doctrine 并始终确保用户输入安全，拒绝 HTML、网址和电子邮件地址等(如果适用，例如评论框).我也使用 Twig(我相信它可以转义输出). 反光我的理解是，任何人都可以向某人发送电子邮件，其中包含指向任何 ..

发布时间：2021-09-03 19:28:25 php javascript symfony xss PHP

在 React 组件中将 SVG 字符串转换为图像

我在 React 组件中有一个动态生成的 SVG 字符串.我想将其作为图像嵌入到组件中.目前，我正在使用以下内容: class SomeComponent 扩展 React.Component {使成为() {var image = ' ..

发布时间：2021-09-01 19:13:50 javascript reactjs svg xss 前端开发

如何使用 Struts 防止 XSS 漏洞

我们需要在我们的 Struts 应用程序中添加反 XSS 支持.最特别的是，架构师要求所有用户输入必须在存储到 DB 之前“清理".由于我不想重新发明方轮，我可以为此使用哪个 Java 库?把它放在哪里?理想情况下，它应该是可配置的(要检查哪些输入字段，而不是请求中的所有字段)并且速度很快.我首先想到的是 Struts 验证器. 提前致谢路易斯解决方案我建议您查看 OWASP 的 ..

发布时间：2021-08-31 19:24:23 java struts xss Java开发

使用 Spring MVC 框架清理用户输入

我正在使用 spring mvc 框架开发 Web 应用程序，我想知道有没有最好的方法来清理用户输入或清理 spring 中的所有用户输入以避免 XSS 和 Sql 注入攻击的常用方法? 解决方案您可以使用 Spring 框架中的 Filters 来清理表单.过滤器将获取您的所有请求属性并在处理请求之前清除它们.另一种选择是使用 JSoup API.访问以下链接了解更多信息. JS ..

发布时间：2021-08-23 18:41:20 spring-mvc spring-security xss sql-injection 其他开发

你有任何 SQL 注入测试“弹药"吗?

在阅读 SQL 注入和 XSS 时，我想知道你们是否有一个字符串可以用来识别这些漏洞和其他漏洞. 一个可以被扔进网站数据库的字符串，用于黑盒检查该字段是否安全.(打算对一些内部工具进行大型测试) 粗略的例子，想知道你们是否知道更多? "a' 或 '1'='1" "center'> alert('test')" 编辑:在 SO 上发现了一个不错的 XSS 问题解 ..

发布时间：2021-08-23 18:41:17 testing xss sql-injection 其他开发

如何防止 XSS 和 SQL 注入

我想检查我的用户数据是否存在 XSS 和 SQL 注入，这就是我尝试的方式 if (isset($_GET['membernumber'])){$mem = htmlentities($_GET['membernumber']);$memberparamter = cleanData($mem);} 但是哪种方法是最好/正确的检查方法? 方法一 function cleanData($ ..

发布时间：2021-08-23 18:41:02 php xss sql-injection PHP

捕获 SQL 注入和其他恶意 Web 请求

我正在寻找一种可以检测恶意请求(例如明显的 SQL 注入获取或发布)并立即禁止请求者的 IP 地址/添加到黑名单的工具.我知道在理想的世界中，我们的代码应该能够处理此类请求并相应地处理它们，但是即使站点免受此类攻击，这样的工具也有很多价值，因为它可能导致节省带宽，防止分析膨胀等理想情况下，我正在寻找一种跨平台(LAMP/.NET)解决方案，它位于比技术堆栈更高的级别；也许在网络服务器或硬件 ..

发布时间：2021-08-23 18:40:53 sql xss sql-injection 其他开发

用户等于不可信.永远不要相信不可信用户的输入.我明白了.但是，我想知道何时清理输入的最佳时间是.例如，您是盲目地存储用户输入，然后在访问/使用时对其进行清理，还是立即清理输入，然后存储此“已清理"版本?除了这些之外，也许还有其他一些我没有想到的方法.我更倾向于第一种方法，因为任何来自用户输入的数据仍然必须谨慎处理，“清理"的数据可能仍然在不知不觉中或意外地危险.无论哪种方式，人们认为哪种方法最好， ..

发布时间：2021-08-23 18:40:40 xss sql-injection user-input sanitization 其他开发

.setinterval 和 XSS

在 OWASP XSS 预防备忘单中，它说不受信任的数据不能安全地放在 .setinterval JS 函数中.即使被转义/编码，XSS 仍然是可能的. 但是如果我有这样的事情: setInterval(function(){ alert(''); }, 3000); 如果我用 JS 编码“UNTRUSTED_DATA"，XSS 怎么可能? ..

发布时间：2021-07-23 19:21:53 xss setinterval 其他开发

XSS 的 SQL 预防

嘿伙计们，我有一个问题，在将数据插入 SQL 时我可以使用什么来防止 XSS?而不是在阅读时. 例如，我的 sql 中有相当多的输出是用户生成的，是否可以在输入 SQL 时使其安全，或者在离开 SQL 时是否必须使其安全? TL:DR 我可以在向 SQL 中插入数据时使用 htmlspecialchars 之类的东西来防止 XSS，这会是一种很好的保护吗? 解决方案我认为这个 ..

发布时间：2021-07-17 20:48:01 php html security xss PHP

PHP 安全性 - 结合 strip_tags() 的功能；&htmlspecialchars();

我希望我的论坛用户能够插入链接和其他允许的标签.例如，我希望帖子中的以下 HTML 按照作者的意图显示(即作为功能链接): 一个页面但是，我想保持一定程度的安全性并且一直在阅读strip_tags() 和 htmlspecialchars().一开始我想我可以将 strip_tags 与类似的东西一起使用: 但是如果我理解正确，strip_tags 不会像 htmlspecia ..

发布时间：2021-07-17 20:44:04 php html security xss PHP

了解 cookie 域与顶级域及其子域的关系

我有一个包含 2 个子域的域，如下所示:www.domain.com 和 secure.domain.com(使用 ssl).www 子域将运行 vbulletin(容易受到 xss 攻击)，安全子域背后的网络服务很好，更安全，对攻击更敏感，因为那里涉及真钱.domain.com 是 301 重定向到 www.domain.com.现在我想在不影响安全子域的安全性的情况下对这两个服务进行单点登录. ..

发布时间：2021-07-17 20:42:52 security cookies xss single-sign-on vbulletin 其他开发

我可以通过简单地禁用 XSS 过滤器在 IE 中为任何/所有网站启用跨站点脚本吗?

我想为某些站点启用跨站点脚本.具体来说，我想向第 3 方站点提交一个 web 表单，我已经为 web 表单对子 iframe 的响应设置了目标 iframe，现在我希望主窗口中的代码检索响应网页的内容. 我认为我可以通过简单地禁用 Internet Explorer 中的 XSS 过滤器来完成上述操作是否正确?还是还需要其他东西?另外我如何在 Firefox 中启用跨站点脚本(对于相同的场景?) ..

发布时间：2021-07-17 20:42:46 security xss cross-site 其他开发

使用 jquery parseHTML 删除脚本标签是否足以防止 XSS 攻击?

我们正在使用 WYSWIG 编辑器(Froala 编辑器)并存储由用户创建的原始 HTML.因此，转义字符串不是一种选择.我打算将 HTML 字符串存储在用引号括起来的变量或数据属性中.然后，读取该 HTML 字符串并使用 jquery 的 parseHTML 删除脚本标记，并在将 HTML 加载到编辑器之前仅保留某些属性.这种方法是否足以防止所有 XSS 攻击? 解决方案不是.几个反例 ..

发布时间：2021-07-17 20:41:33 django security xss wysiwyg froala 其他开发

这些隐藏字段的使用不安全吗?

我正在增强一个遗留系统(我没有帮助构建)，并且想从其他人那里找出我注意到的某些事情是否是合法的安全问题. 首先，应用程序通过登录获得保护.但是，一旦用户登录，整个应用程序将有 11 个页面，其中隐藏字段存储文件名的值以及下载路径. Javascript 用于自动提交表单，然后用户下载文件并将其保存到他或她的计算机上.我认为这个值可能会改变，用户会在不知不觉中下载恶意文件. 此外， ..

发布时间：2021-07-17 20:41:18 security web xss file-inclusion 其他开发

防止 XSS 攻击的新方法

我有一个与娱乐相关的网站.所以，我想到了使用一种新的方法来防止 XSS 攻击.我创建了以下单词列表 alert(, javascript, ,,,, ..

发布时间：2021-07-17 20:39:54 php security xss PHP

PHP 中的 htmlspecialchars() 或 Ruby on Rails 中的 h() 是否足以防御所有 XSS(跨站点脚本)攻击?

PHP 中的 htmlspcialchars($user_data) 或 Ruby on Rails 中的 h(user_data) 是否足以防御所有 XSS(跨站点脚本)攻击?使用的编码或任何其他可能的考虑因素如何? 解决方案 htmlspecialchars 和 h 都对 HTML 中可能有特殊含义的所有字符进行转义，没有办法可以将文字 HTML 注入目标页面. 但是，有一些方法 ..

发布时间：2021-07-17 20:39:12 security xss 其他开发

为什么 setInterval 对 XSS 不安全?

我正在阅读 OWASP 跨站点脚本防止备忘单.在规则#3 中它说: 请注意，有些 JavaScript 函数永远无法安全地使用不受信任的数据作为输入 - 即使 JAVASCRIPT ESCAPED！ window.setInterval('...即使你转义了不受信任的数据，你在这里也会被 XSSED...'); 澄清: 我知道使用 setInterval 等.使用您自己的内容是安全 ..

发布时间：2021-07-17 20:39:09 javascript security xss 前端开发

如何以编程方式让所有字符串的 unicode 实体自行解析?

我正在尝试减轻 XSS.我怎样才能避免这种情况: jAvascript:alert('test2') 在链接的href中? 我尝试了以下方法，但它只是将上述字符串的未解析字面值分配为 href 的相对路径，而不是能够触发代码执行的正确 javascript: href.我想知道攻击者如何利用这一点. 我尝试了以下方法: a = document.createElement ..

发布时间：2021-07-17 20:38:14 javascript regex security unicode xss 前端开发

xss相关内容