Лучшие xss вопросы ИТ разработчиков

  • 4 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

лучше ли экранировать / кодировать пользовательский ввод перед сохранением его в базе данных или сохранить его в том виде, как он есть в базе данных, и экранировать его при получении?

Я используюhtmlspecialchars() функция предотвращения атак XSS. У меня есть сомнения относительно того, что является лучшим способом для хранения данных в базе данных из следующих. Способ 1:Сохраните введенные пользователем значения ...

Задан 01 Mar 2012, 08:28 от Vivek Vaghela
  • 5 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Как очистить вход от MCE в ASP.NET?

Есть ли в C # утилита / функция для очистки исходного кода файла tinyMCE rich. Я хотел бы удалить опасные теги, но хотел бы добавить безопасные HTML-теги в б...

Задан 10 Jul 2013, 20:19 от Gengar
  • 3 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

nginx.org/en/docs/http/ngx_http_headers_module.html

аюсь написать конфигурацию nginx, которая будет обрабатывать два сайта как по http, так и по https. Кажется, это работает, пока клиент никогда не посещает оба сайта, но если они это делают, возникают проблемы с кешированием / ...

Задан 05 Sep 2017, 21:02 от Chris Dovetail
  • 10 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Межсайтовый скриптинг (XSS): нужно ли мне выходить из амперсанда?

Я хочу скрыться за XSS в контексте HTML, и до сих пор я рассматриваю<, >, а также" персонажи. По-видимому, рекомендуется также избегать амперсанда, но почему? (За исключением того, что HTML должен быть действительным, давайте предположим, что это ...

Задан 03 Feb 2012, 05:31 от Brent Gallagher
  • 1029 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Какой самый лучший метод для дезинфекции ввода пользователя с помощью PHP?

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?

Задан 24 Sep 2008, 20:20 от Brent
  • 0 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Предупреждение: trim () ожидает, что параметр 1 будет строкой, а массив задан в скрипте php

У меня есть скрипт PHP, когда я выполнил этот код, я получил предупреждениеПредупреждение: trim () ожидает, что параметр 1 будет строкой, а массив указан в h...

Задан 02 Jan 2014, 19:03 от user3154864
  • 1 голос
  • 3 ответа
  • 0 просмотров
3 ответа

или если он смешанный и ожидаются другие символы, то вам придется использовать

вительно ли предотвращение XSS означает, что я должен запускать htmlspecialchars () КАЖДЫЙ раз, когда я выводлю какой-либо пользовательский ввод? Например, каждый раз, когда я отображаю имя пользователя? Кажется действительно утомительным. Есть ...

Задан 10 Mar 2011, 04:07 от Andy Hin
  • 48 голосов
  • -1 ответ
  • 0 просмотров
-1 ответ

Лучший способ обеспечить безопасность и избежать XSS с помощью введенных пользователем URL

У нас есть приложение с высоким уровнем безопасности, и мы хотим, чтобы пользователи могли вводить URL-адреса, которые будут видеть другие пользователи. Это создает высокий риск взлома XSS - пользователь может потенциально ввести javascript, ...

Задан 15 Oct 2008, 18:46 от Keith
  • 27 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

ытался поставить это: <meta http-equiv="X-XSS-Protection" content="0">в<head> тег, но не повезло. Я пытаюсь избавиться от надоедливого IE, предотвращающего обход сайтов

Задан 08 Jan 2011, 18:20 от Aly
  • 6 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Скопировать HTML-контент из iframe в div (ajax)?

Предположим, мой браузер загружает Iframe с<iframe src="test.html"> Могу ли я, используя ajax, загрузить содержимое test.html в div на главной html-странице? Эта идея - мое решение для того факта, что я на самом деле пытаюсь ...

Задан 21 Jan 2010, 22:31 от Maxim Veksler
  • 13 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Каковы общие защиты от XSS? [закрыто]

Другими словами, какие методы в настоящее время наиболее часто используются для дезинфекции входных и / или выходных данных? Что люди на промышленных (или пр...

Задан 28 Jun 2010, 03:26 от Admiraldei
  • 21 голос
  • 0 ответов
  • 0 просмотров
0 ответов

Страница не найдена ..

аюсь кодировать безопасный и легкий очиститель HTML на основе белого списка, который будет использовать DOMDocument. Чтобы избежать ненужных сложностей, я готов пойти на следующие компромиссы: HTML комментарии удаленыscript а такжеstyle метки ...

Задан 07 Aug 2011, 21:54 от Alix Axel
  • 7 голосов
  • 6 ответов
  • 0 просмотров
6 ответов

JavaScript для записи iframe, в приложении iframe установите текущую высоту в url # h700 для 700px и т. д .; затем используйте цикл, чтобы прослушать это изменение на хост-сайте "в javascript", чтобы прочитать src = "url # h700" и установить для него высоту iframe.

прос о том, как сделать так, чтобы ваш iframe соответствовал 100% вашего контента (используя JavaScript), уже дан ответ на форуме ...для фреймов, отображающих контент только из одного домена. Мои вопросы: возможно ли изменить размер iframe, ...

Задан 21 Jan 2009, 19:38 от Rick
  • 7 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

межсайтовый скриптинг с Iframe

Я экспериментирую с межсайтовым скриптингом. У меня есть сайт, который позволяет пользователям вставлять комментарии и просматривать их на сайте. Сайт отфильтровывает строку «script», хотя и из комментария, но допускает фреймы. Я понимаю, что ...

Задан 28 Nov 2011, 03:52 от Keeto
  • 6 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Безопасный чат Node.js (избегайте XSS)

Я создаю простой маленький чат с Node.js и socket.io Когда пользователь вводит свое сообщение, оно передается всем остальным пользователям. Сервер отправляет сообщение: io.sockets.emit('fromServerToClient', { "message": message });Клиент ...

Задан 20 Jun 2013, 23:51 от mimipc
  • 4 голосов
  • 5 ответов
  • 0 просмотров
5 ответов

Лучшая практика Сохранять ли теги html в БД или сохранять значение сущности html?

Мне было интересно, каким образом я должен сделать следующее. Я использую крошечный редактор MCE wysiwyg, который форматирует данные пользователей с правильн...

Задан 05 May 2010, 22:43 от phpNutt
  • 1 голос
  • 0 ответов
  • 0 просмотров
0 ответов

Как хранить HTML-теги в базе данных?

Я создаю свой новый сайт. Теперь я учусь и использую Symfony. У меня есть несколько вопросов. Почему по умолчанию Symfony позволяет добавлять теги HTML в базу данных? Например, я создаю новый модуль, я иду в модуль / новый, в заголовке ...

Задан 23 Oct 2011, 15:49 от Gryz Oshea
  • 4 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

DEMO

часа попыток заставить его работать, я думаю, что это из-за междоменных политик, но я действительно думал, что это будет работать. Я также не могу найти много информации об этом. Но вот моя проблема. У меня есть сайт под ...

Задан 29 Apr 2011, 09:37 от Oscar Godson
  • 13 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Это непросто - вам нужно создать оболочку, вызываемую COM, установить на серверах и т. Д. Я просто не думаю, что она подходит для «классического» ASP.

тоящее время я пытаюсь защитить свое классическое приложение ASP от XSS. Я наткнулся на AntiXSS от Microsoft в сети, и мне было интересно, будет ли это работать с классическим приложением? Если нет, у вас есть идеи, как я могу провести ...

Задан 07 Apr 2009, 13:59 от Steoates
  • 26 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

 «Параметр« global_xss_filtering »УСТАРЕЛ и хранится исключительно для целей обратной совместимости. Экранирование XSS должно выполняться на выходе, а не на входе!»

я санирую свои вставки в БД, а также избегаю HTML, который я пишуhtmlentities($text, ENT_COMPAT, 'UTF-8') Есть ли смысл также фильтровать входные данные с xss_clean? Какие еще преимущества это дает?

Задан 17 Mar 2011, 09:26 от Dan Searle
  • 2 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Как отключить защиту межсайтовых сценариев в своем браузере?

Я хочу загрузить страницу из домена внутри iframe на странице другого домена, а затем получить доступ к ее содержимому с помощью JS. Конечно, это будет XSS, поэтому я получаю сообщение об ошибке «Отказано в доступе к свойству HTMLDocument ...». ...

Задан 19 Sep 2009, 01:59 от maltalef
  • 11 голосов
  • 5 ответов
  • 0 просмотров
5 ответов

Уценка и XSS

Итак, я читал об уценке здесь, в SO и в других местах, и шаги между пользовательским вводом и БД обычно задаются какконвертировать уценку в HTMLдезинфицирова...

Задан 06 Nov 2009, 20:30 от psb
  • 9 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как избежать «межсайтовых скриптовых атак»

Как избежать межсайтовых скриптовых атак?Межсайтовые скриптовые атаки (или жемежсайтовый скриптинг), если у вас, например, есть гостевая книга на вашей домаш...

Задан 09 Aug 2010, 11:48 от Latze
  • 2 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

Что такое JSONP?

ли совершать AJAX-вызовы (например, используя jQuery.ajax ()) из локального файла html / js (например, file: //home/a.html) на удаленный сервер (например, HTTP: // домен: 8080 / апи [http://domain:8080/api])? Если да, как включить такой XSS ...

Задан 13 Apr 2011, 11:42 от Nikolay Vyahhi
  • 17 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

Приложение для Android с использованием Webview / javascript. в чем может быть проблема безопасности?

Я создаю веб-приложение для Android, используяWebview а такжеJavascript изготовлениеaddJavascriptInterface(true). Мое приложение будет содержать данные (html), которые будут загружены с внешнего сайта. Я беспокоюсь омежсайтовый скриптинг XSS / ...

Задан 01 Apr 2013, 01:56 от Amit sinha
  • 12 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

XSS-атака с использованием JavaScript в атрибуте img src

Некоторые старые браузеры как таковые уязвимы для атак XSS <img src="javascript:alert('yo')" />Текущих версий IE, FF, Chrome нет. Мне любопытно, если какие-либо браузеры уязвимы для подобной атаки: <img src="somefile.js" />или же <iframe ...

Задан 25 Nov 2009, 17:34 от Matthew
  • 12 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

как установить httponly и сессионный cookie для веб-приложения Java

Привет, я работаю над проблемой XSS (межсайтовый скриптинг). мое приложение разработано на портале oracle weblogic. мы используем версию Servlet 2.5.Я добави...

Задан 19 Mar 2013, 20:01 от Kiran
  • 62 голосов
  • 8 ответов
  • 0 просмотров
8 ответов

Предотвращение XSS в Node.js / на стороне сервера javascript

Любая идея, как можно было бы предотвратить атаки XSS на приложение node.js? Любые библиотеки, которые обрабатывают удаление javascript в hrefs, атрибутах on...

Задан 14 Sep 2010, 00:26 от Techwraith
  • 8 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

Запретить изменение формы HTML

У меня есть форма на моей странице, где пользователи вводят данные своей кредитной карты. Можно ли в HTML помечать действие формы как постоянное, чтобы не дать вредоносному JavaScript изменить свойство действия формы? Я могу представить себе ...

Задан 19 Sep 2011, 19:01 от Michał Fronczyk
  • 11 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Уценка и XSS

Итак, я читал об уценке здесь, в SO и в других местах, и шаги между пользовательским вводом и БД обычно задаются как конвертировать уценку в HTMLдезинфицировать HTML (с белым списком)вставить в базу данныхно для меня имеет смысл сделать ...

Задан 06 Nov 2009, 21:30 от psb
  • 25 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

XSS, который я показываю, - это те, которые действительно прошли через наш js-код.

тны XSS-атаки типа Атрибут: <DIV STYLE="width: expression(alert('XSS'));">Или же <DIV STYLE="background-image: url(javascript:alert('XSS'))">Все примерыя видел [http://ha.ckers.org/xss.html]используйте либо выражение, либо функциональность ...

Задан 28 Dec 2010, 13:59 от Artyom
  • 7 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как я могу html_escape текстовые данные в приложении sinatra?

У меня есть небольшое приложение Sinatra, которое генерирует фрагменты HTML для меня из шаблона ERB.Как мне html_escape выводить?&lt;% = h somestring%&gt; По...

Задан 23 Jan 2010, 14:09 от marshally
  • 14 голосов
  • 0 ответов
  • 0 просмотров
0 ответов

Заменяет: <и> на & lt; и & gt; достаточно, чтобы предотвратить инъекцию XSS?

Я хочу знать, заманивая ли два знака< а также> достаточно для предотвращения инъекций XSS? А если нет, то почему? И какое лучшее решение?

Задан 22 Jan 2010, 00:06 от Ryan
Page 1 of 5
1 2 3 4 5