Вопросы по теме 'xss'
Как настроить использование файлов cookie HttpOnly в PHP
Как я могу установить файлы cookie в моем PHP apps как HttpOnly cookies ?
122084 просмотров
schedule
11.06.2022
Как я могу дезинфицировать вводимые пользователем данные с помощью PHP?
Есть ли где-нибудь функция перехвата, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, при этом позволяя использовать определенные типы HTML-тегов?
580496 просмотров
schedule
15.04.2024
Изящное закрытие фрейма (панели инструментов) вокруг iframe
Я создал инструмент, который используется с довольно популярным музыкальным ритейлером.
Инструмент предоставляет расширенную функцию поиска (прозрачные результаты last.fm, без рекламы, без убожества, без жути), и я обнаружил, что наиболее полезным...
990 просмотров
schedule
12.04.2023
Полностью ли защищает этот набор регулярных выражений от межсайтовых сценариев?
Какой пример чего-то опасного, что не может быть обнаружено приведенным ниже кодом?
РЕДАКТИРОВАТЬ: после некоторых комментариев я добавил еще одну строку, прокомментированную ниже. См. Комментарий Винко в ответе Дэвида Гранта. Пока что только...
14939 просмотров
schedule
04.08.2023
Межсайтовый XMLHttpRequest
Я хочу предоставить фрагмент кода Javascript, который будет работать на любом веб-сайте, где он есть, но ему всегда нужно получать дополнительные данные (или даже изменять данные) на сервере, на котором размещен Javascript. Я знаю, что по понятным...
39287 просмотров
schedule
18.10.2022
Как я могу позволить моему пользователю без риска вставлять HTML-код? (не только технические риски)
Я разработал веб-приложение, которое позволяет моим пользователям динамически управлять некоторыми аспектами веб-сайта (да, своего рода cms) в среде LAMP (debian, apache, php, mysql)
Ну, например, они создают новости в своей частной области на моем...
3792 просмотров
schedule
10.01.2023
Как именно применяется политика того же домена?
Допустим, у меня есть домен js.mydomain.com , и он указывает на какой-то IP-адрес, и какой-то другой домен, requests.mydomain.com , который указывает на другой IP-адрес. Может ли файл .js , загруженный с js.mydomain.com , отправлять Ajax-запросы...
4746 просмотров
schedule
17.08.2022
Должен ли я использовать анти-XSS Security Runtime Engine в ASP.NET MVC?
Я читал о Anti-XSS Security Runtime Engine, и он выглядит как хорошее решение для веб-форм, потому что он проверяет элементы управления через отражение и автоматически кодирует данные там, где это необходимо. Однако, поскольку я на самом деле не...
5703 просмотров
schedule
30.09.2022
Межсайтовый скриптинг?
Привет, я пытаюсь получить div с другого веб-сайта с помощью JS.
У меня есть iframe, который загружает страницу с внешнего сайта, я хочу получить div, содержащий список, чтобы я мог сам стилизовать его и разместить на своем сайте.
Благодарим за...
393 просмотров
schedule
08.04.2023
Ruby on Rails и предотвращение XSS
Каковы методы предотвращения XSS в Ruby on Rails? Я нашел много старых документов в Интернете, и большую часть времени они были посвящены использованию помощника h/html_escape для экранирования любой переменной, поступающей от пользователей.
Из...
9470 просмотров
schedule
20.04.2022
Генерация AntiForgeryToken в WebForms
У меня есть сайт .NET Webforms, который должен опубликовать в моем приложении MVC, которое в настоящее время находится внутри сайта Webform как отдельное приложение.
Приложению веб-формы необходимо отправить некоторые конфиденциальные значения в...
23815 просмотров
schedule
08.08.2022
как я могу отключить защиту от межсайтового скриптинга в своем браузере?
Я хочу загрузить страницу из домена внутри iframe на странице другого домена, а затем получить доступ к ее содержимому с помощью JS. конечно, это будет XSS, поэтому я получу ошибку «Отказано в доступе к свойству HTMLDocument ...». Дело в том, что я...
4187 просмотров
schedule
11.06.2022
Как лучше всего удалить теги script из строки URL?
Я получаю предупреждение об уязвимости от Mcafee Secure, в котором говорится, что на моем сайте есть XSS-уязвимость. Строка, которую они используют для его создания:...
3215 просмотров
schedule
19.06.2022
Автоматизация браузера и межсайтовый скриптинг
Я пытаюсь написать некоторую веб-автоматизацию. Сайты, которые я посещаю, не находятся в том же домене, что и моя автоматизация, поэтому проблемы с межсайтовым скриптингом делают невозможным доступ к DOM на целевом веб-сайте.
Я не хочу...
605 просмотров
schedule
30.05.2023
Создание тестовых случаев против эксплойта безопасности html
В ASP.NET MVC вместе с проектом тестового примера
Как кто-то создает тестовый пример для проверки существующих эксплойтов безопасности в методе контроллера?
Например, как создать тестовый пример для вызова, для которого требуется токен защиты от...
536 просмотров
schedule
14.01.2023
Есть ли аналог Java для предотвращения XSS в Aspnet 4 ‹%: %›?
Я разработчик, переходящий с С# на Java. Слышал о новой сетевой функции ASP. ‹%: %>. Он отображает объект с кодировкой html. Только эти реализации интерфейса IHtmlString не кодируются (для предотвращения двойного кодирования). Подробнее см. в...
236 просмотров
schedule
16.12.2023
Ruby on Rails: как лучше экранировать строку в модели?
Я хочу, чтобы мое приложение очищало html при вводе, а не при отображении, чтобы очищались поля, сохраненные в базе данных.
Я делал это с strip_tags , и все работало отлично. Однако у этого есть и обратная сторона: пользователь не может вводить...
1059 просмотров
schedule
16.06.2022
Действительные адреса электронной почты - XSS и SQL-инъекции
Поскольку существует так много допустимых символов для адресов электронной почты, существуют ли какие-либо действительные адреса электронной почты, которые сами по себе могут быть XSS-атаками или SQL-инъекциями? Я не нашел никакой информации об...
18319 просмотров
schedule
14.07.2023
preg_replace в коде xss
Может ли этот код помочь очистить вредоносный код в форме отправки пользователем?
function rex($string) {
$patterns = array();
$patterns[0] = '/=/i';
$patterns[1] = '/javascript:/i';
$replacements = array();
$replacements[0] = '';
$replacements[1]...
2490 просмотров
schedule
08.05.2022
Как не преобразовывать специальные символы в html-объекты с помощью owasp antisamy
Я использую Owasp Anti с файлом политики Ebay для предотвращения XSS-атак на свой сайт.
Я также использую поиск Hibernate для индексации своих объектов.
Когда я использую этот код:
String html = "special word: été";
// use the Ebay...
3450 просмотров
schedule
24.08.2022