如何在 sinatra 应用程序中 html_escape 文本数据?
我有一个小型 Sinatra 应用程序,它可以从 ERB 模板为我生成 html 片段. 如何对输出进行 html_escape? 助手在 Sinatra 中不存在. 解决方案 Rack::Utils 包含一个 HTML 转义方法.http://www.sinatrarb.com/faq.html#escape_html
..
xss相关内容
这组正则表达式是否完全可以防止跨站点脚本?
以下代码无法捕获的危险示例有哪些? 编辑:在一些评论之后,我添加了另一行,在下面评论.请参阅 David Grant 的回答中 Vinko 的评论.到目前为止,只有 Vinko 回答了这个问题,该问题要求提供可以忽略此功能的具体示例.Vinko 提供了一个,但我已经编辑了代码以关闭该漏洞.如果你们中的另一个人能想到另一个具体的例子,你会得到我的投票! public static strin
..
当他们说 React 受 XSS 保护时,这是什么意思?
我在 React 教程中读到了这个.这是什么意思? React 是安全的.我们不会生成 HTML 字符串,因此 XSS 保护是默认设置. 如果 React 是安全的,XSS 攻击如何工作?这种安全性是如何实现的? 解决方案 ReactJS 在设计上非常安全 视图中的字符串变量会自动转义 使用 JSX,您可以传递一个函数作为事件处理程序,而不是一个包含恶意代码的字符串
..
我还能做些什么来防止自己被 XSS 注入 &SQL注入?
如果我的网站上线(别以为会上线,目前只是一个学习练习). 我一直在使用 mysql_real_escape_string();关于来自 POST、SERVER 和 GET 的数据.另外,我一直在使用 intval();在只能是数字的字符串上. 我认为这涵盖了我的 sql 注入?正确的?我可以做更多吗? 但是,我不确定它如何提供(如果它提供任何保护)免受XSS 注入? 欢迎提
..
防止将 HTML 数据发布到表单文本框中
我正在使用 PHP 制作一个 Web 应用程序,其中我有一个表单,可以将条目输入 MySQL 数据库,然后将其显示在另一个网页上.但问题是表单中的文本框倾向于接受 HTML 内容,使应用程序容易受到 XSS 黑客攻击.在网页中显示之前,如何将 HTML 转换为纯文本. 如果我没有提供任何信息,请随时提问. - - - - - - - - - - - - - - - - - - - -(更新
..
防止服务器端脚本,XSS
是否有任何预制脚本可用于 PHP/MySQL 以防止服务器端脚本和 JS 注入? 我知道一些典型的函数,例如 htmlentities、特殊字符、字符串替换等.但是是否有一些简单的代码或一个对所有事情都具有故障保护的函数? 任何想法都会很棒.非常感谢:) 编辑:一些通用的东西,可以去除任何可能有害的东西,即.大于/小于符号、分号、“DROP"等词? 我基本上只是想将所有内容
..
允许在 Python 中使用 Markdown,同时防止 XSS 攻击的最佳实践?
我需要让用户将Markdown内容输入到我的具有Python后端的Web应用程序中.我不想不必要地限制它们的条目(例如,不允许 any HTML,这与Markdown的精神和规格背道而驰),但显然我需要防止跨站点脚本(XSS)攻击 我不是第一个遇到此问题的人,但是没有看到带有所有关键字"python","Markdown"和"XSS"的任何SO问题,所以去了. 使用Python库处理M
..
PHP Web 应用程序 (Magento) 被黑;该骇客程式码有什么作用?
我刚被Magento 1.3.2.4安装破解.您能告诉我这段代码的目的是什么吗? 此外,如何阻止这种情况以及如何发现漏洞? 谢谢 function net_match($ network,$ ip){$ ip_arr =爆炸('/',$ network);$ network_long = ip2long($ ip_arr [0]);$ x = ip2long($ ip_arr [1
..
我正在获得跨站脚本:Struts调用对bean类的验证不正确
我在HP Fortify中扫描了我的应用程序,但遇到了跨站点脚本:验证不正确的问题.我正在使用ESAPI库.我在Struts应用程序上得到了这个发现.
..
JavaScript的客户端DOM开放重定向
我在扫描以下代码时遇到客户端DOM开放重定向安全性问题.问题出现在我要初始化变量"myPath"和"myHost"的位置. 我无法理解网络钓鱼如何受到网络钓鱼攻击以及如何解决.谁能帮忙吗? var query = this.value;var myPath = window.location.href.substring(window.location.href.indexOf("/my
..
可以使用"new DOMParser.parseFromString"吗?比"createElement"更安全?
我创建了一个脚本,尝试删除不安全的内容(我将其用于浏览器扩展): var str =“ Hello mundo
..
Struts 2如何从请求中读取参数
我已经实现了如下所示的XSS过滤器, @Overridepublic String getParameter(String parameter){字符串值= super.getParameter(parameter);返回stripXSS(value);}@Overridepublic String getHeader(String name){字符串值= super.getHeader(na
..
防止使用innerHTML注入脚本
我已经编写了一个微型模板实用程序,该实用程序可以根据用户输入(纯文本字符串或html字符串)使用innerHTML在网页中注入html片段. 我主要担心的是恶意脚本注入的风险.可以通过脚本标签或在嵌入式事件(例如img onload,div onmouseover)中插入脚本. 有没有办法清理html字符串以防止此类注入?另外,还有其他我应该注意的脚本注入方法吗? 解决方案 如
..
https安全cookie是否可以防止XSS攻击?
https连接是否可以保护cookie并防止XSS攻击.我有一个简单的博客,允许用户输入JavaScript代码作为输入.我想允许用户输入Javascript,同时仍然防止XSS攻击和cookie窃取.https是否有助于保护cookie.我只发现很少网站谈论此问题,但仍不清楚. 解决方案 HTTPS可以阻止中间人攻击,而不是XSS.不幸的是,单独使用会话cookie并不安全,可以使用HT
..
没有HTML标签的XSS
如果我的输入不允许字符? 示例:我输入 alert('this');文本 但是如果我删除脚本不是文本: 我输入脚本警报('this');脚本文字 解决方案 是的,仍然有可能. 例如假设您的网站将用户输入内容注入以下位置
..
消毒< script>元素含量
说我想通过动态的 元素向客户端提供一些数据(在第一个响应中,没有延迟). 假设 payload 是字符串 var data =' alert("Muahahaha!")'; .结束标记( )将允许用户向我的页面中注入任意脚本.如何正确清理脚本元素的
..
如何在HTML脚本标签中插入任意JSON
我想将JSON的内容存储在脚本标记内的HTML文档源中. JSON的内容确实取决于用户提交的输入,因此需要非常小心地为XSS清理该字符串. 我在这里已经阅读了两个概念. 1.将所有出现的
..
消毒剂VS危险地设置内部HTML
根据一些反应文档: 不当使用 innerHTML 可能会使您跨站点访问脚本(XSS)攻击.清理显示的用户输入是臭名昭著的容易出错,并且无法正确消毒是以下原因之一互联网上网络漏洞的主要原因. 似乎不正确使用消毒剂和 innerHTML 可能会暴露站点XSS(跨站点脚本)攻击. 另一方面,根据其他文档(例如科里·沃德(Corey Ward))是为了尽可能避免使用 dangerousl
..
PHP如何在不使用HTML标签的情况下进行回显
我有一种系统,每个人都可以键入他想要的任何内容.不过,他们似乎也可以使用 , 等. 您如何确切地防止这种情况发生?因此,举例来说,如果有人键入
Hello
,则文本不会变大,但只会显示
Hello
. 如果无法执行此操作,请给我另一种选择. 解决方案 要
..
HTML在Rails 3视图中转义
我正在使用Rails3.我想在erb模板中显示生成的html片段 Foo Bar"%> Rails对div标签进行编码. 如果我在Rails 2中是正确的,则
..