Вопросы по теме 'xss'

Как настроить использование файлов cookie HttpOnly в PHP
Как я могу установить файлы cookie в моем PHP apps как HttpOnly cookies ?
122084 просмотров
schedule 11.06.2022

Как я могу дезинфицировать вводимые пользователем данные с помощью PHP?
Есть ли где-нибудь функция перехвата, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, при этом позволяя использовать определенные типы HTML-тегов?
580496 просмотров
schedule 15.04.2024

Изящное закрытие фрейма (панели инструментов) вокруг iframe
Я создал инструмент, который используется с довольно популярным музыкальным ритейлером. Инструмент предоставляет расширенную функцию поиска (прозрачные результаты last.fm, без рекламы, без убожества, без жути), и я обнаружил, что наиболее полезным...
990 просмотров
schedule 12.04.2023

Полностью ли защищает этот набор регулярных выражений от межсайтовых сценариев?
Какой пример чего-то опасного, что не может быть обнаружено приведенным ниже кодом? РЕДАКТИРОВАТЬ: после некоторых комментариев я добавил еще одну строку, прокомментированную ниже. См. Комментарий Винко в ответе Дэвида Гранта. Пока что только...
14939 просмотров
schedule 04.08.2023

Межсайтовый XMLHttpRequest
Я хочу предоставить фрагмент кода Javascript, который будет работать на любом веб-сайте, где он есть, но ему всегда нужно получать дополнительные данные (или даже изменять данные) на сервере, на котором размещен Javascript. Я знаю, что по понятным...
39287 просмотров
schedule 18.10.2022

Как я могу позволить моему пользователю без риска вставлять HTML-код? (не только технические риски)
Я разработал веб-приложение, которое позволяет моим пользователям динамически управлять некоторыми аспектами веб-сайта (да, своего рода cms) в среде LAMP (debian, apache, php, mysql) Ну, например, они создают новости в своей частной области на моем...
3792 просмотров
schedule 10.01.2023

Как именно применяется политика того же домена?
Допустим, у меня есть домен js.mydomain.com , и он указывает на какой-то IP-адрес, и какой-то другой домен, requests.mydomain.com , который указывает на другой IP-адрес. Может ли файл .js , загруженный с js.mydomain.com , отправлять Ajax-запросы...
4746 просмотров
schedule 17.08.2022

Должен ли я использовать анти-XSS Security Runtime Engine в ASP.NET MVC?
Я читал о Anti-XSS Security Runtime Engine, и он выглядит как хорошее решение для веб-форм, потому что он проверяет элементы управления через отражение и автоматически кодирует данные там, где это необходимо. Однако, поскольку я на самом деле не...
5703 просмотров
schedule 30.09.2022

Межсайтовый скриптинг?
Привет, я пытаюсь получить div с другого веб-сайта с помощью JS. У меня есть iframe, который загружает страницу с внешнего сайта, я хочу получить div, содержащий список, чтобы я мог сам стилизовать его и разместить на своем сайте. Благодарим за...
393 просмотров
schedule 08.04.2023

Ruby on Rails и предотвращение XSS
Каковы методы предотвращения XSS в Ruby on Rails? Я нашел много старых документов в Интернете, и большую часть времени они были посвящены использованию помощника h/html_escape для экранирования любой переменной, поступающей от пользователей. Из...
9470 просмотров
schedule 20.04.2022

Генерация AntiForgeryToken в WebForms
У меня есть сайт .NET Webforms, который должен опубликовать в моем приложении MVC, которое в настоящее время находится внутри сайта Webform как отдельное приложение. Приложению веб-формы необходимо отправить некоторые конфиденциальные значения в...
23815 просмотров
schedule 08.08.2022

как я могу отключить защиту от межсайтового скриптинга в своем браузере?
Я хочу загрузить страницу из домена внутри iframe на странице другого домена, а затем получить доступ к ее содержимому с помощью JS. конечно, это будет XSS, поэтому я получу ошибку «Отказано в доступе к свойству HTMLDocument ...». Дело в том, что я...
4187 просмотров
schedule 11.06.2022

Как лучше всего удалить теги script из строки URL?
Я получаю предупреждение об уязвимости от Mcafee Secure, в котором говорится, что на моем сайте есть XSS-уязвимость. Строка, которую они используют для его создания:...
3215 просмотров
schedule 19.06.2022

Автоматизация браузера и межсайтовый скриптинг
Я пытаюсь написать некоторую веб-автоматизацию. Сайты, которые я посещаю, не находятся в том же домене, что и моя автоматизация, поэтому проблемы с межсайтовым скриптингом делают невозможным доступ к DOM на целевом веб-сайте. Я не хочу...
605 просмотров
schedule 30.05.2023

Создание тестовых случаев против эксплойта безопасности html
В ASP.NET MVC вместе с проектом тестового примера Как кто-то создает тестовый пример для проверки существующих эксплойтов безопасности в методе контроллера? Например, как создать тестовый пример для вызова, для которого требуется токен защиты от...
536 просмотров

Есть ли аналог Java для предотвращения XSS в Aspnet 4 ‹%: %›?
Я разработчик, переходящий с С# на Java. Слышал о новой сетевой функции ASP. ‹%: %>. Он отображает объект с кодировкой html. Только эти реализации интерфейса IHtmlString не кодируются (для предотвращения двойного кодирования). Подробнее см. в...
236 просмотров
schedule 16.12.2023

Ruby on Rails: как лучше экранировать строку в модели?
Я хочу, чтобы мое приложение очищало html при вводе, а не при отображении, чтобы очищались поля, сохраненные в базе данных. Я делал это с strip_tags , и все работало отлично. Однако у этого есть и обратная сторона: пользователь не может вводить...
1059 просмотров
schedule 16.06.2022

Действительные адреса электронной почты - XSS и SQL-инъекции
Поскольку существует так много допустимых символов для адресов электронной почты, существуют ли какие-либо действительные адреса электронной почты, которые сами по себе могут быть XSS-атаками или SQL-инъекциями? Я не нашел никакой информации об...
18319 просмотров
schedule 14.07.2023

preg_replace в коде xss
Может ли этот код помочь очистить вредоносный код в форме отправки пользователем? function rex($string) { $patterns = array(); $patterns[0] = '/=/i'; $patterns[1] = '/javascript:/i'; $replacements = array(); $replacements[0] = ''; $replacements[1]...
2490 просмотров
schedule 08.05.2022

Как не преобразовывать специальные символы в html-объекты с помощью owasp antisamy
Я использую Owasp Anti с файлом политики Ebay для предотвращения XSS-атак на свой сайт. Я также использую поиск Hibernate для индексации своих объектов. Когда я использую этот код: String html = "special word: été"; // use the Ebay...
3450 просмотров
schedule 24.08.2022