Лучшие xss вопросы ИТ разработчиков

  • 11 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Уценка и XSS

Итак, я читал об уценке здесь, в SO и в других местах, и шаги между пользовательским вводом и БД обычно задаются как конвертировать уценку в HTMLдезинфицировать HTML (с белым списком)вставить в базу данныхно для меня имеет смысл сделать ...

Задан 06 Nov 2009, 21:30 от psb
  • 0 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Предупреждение: trim () ожидает, что параметр 1 будет строкой, а массив задан в скрипте php

У меня есть скрипт PHP, когда я выполнил этот код, я получил предупреждениеПредупреждение: trim () ожидает, что параметр 1 будет строкой, а массив указан в h...

Задан 02 Jan 2014, 19:03 от user3154864
  • 18 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

PHP Форма безопасности с реферером

Я собираю сайт, который будет доступен для пользовательского ввода. Мне было интересно, если написать функцию, как:

Задан 15 May 2010, 19:12 от Howard Zoopaloopa
  • 42 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Как именно вы настраиваете httpOnlyCookies в ASP.NET?

Вдохновленный этой статьей CodingHorror, "Защита ваших файлов cookie: HttpOnly"Как вы устанавливаете это свойство? Где-то в веб-конфиге?

Задан 28 Aug 2008, 22:14 от Teller
  • 3 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Мне было так весело читать этот ответ. Вы тщательно проанализировали вопрос и ответили на соответствующие вопросы. Большое спасибо! Что касается перетаскивания маркера авторизации и cookie-файлов - есть причина, по которой я этого не сделал. Если мне нужно использовать это приложение в собственном приложении (например, Android), то я могу рассматривать только токен аутентификации для запросов (и я планирую различать клиентов, используя заголовок User-Agent каждого запроса. Приложение на основе браузера не может изменить заголовок User-Agent, но собственное приложение может установить для него что-то вроде «User-Agent: NativeApp» - в этом случае игнорировать отсутствие cookie.

асность. Сегодня ни одно приложение не может выжить в Интернете, если в нем не запрограммирована надлежащая безопасность - ни с помощью инфраструктуры, используемой разработчиком, ни самим разработчиком. В настоящее время я разрабатываю RESTful ...

Задан 01 Apr 2018, 11:48 от Anindit Karmakar
  • 2 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как мне опубликовать сообщение в iFrame

Я ищу способ PostMessage к брату iFrame без JavaScript на родительской странице. Трудность, которую яя пытаюсь получить объект окна для другого iFrame из пер...

Задан 16 Sep 2012, 20:29 от Axiverse
  • 41 голос
  • 9 ответов
  • 0 просмотров
9 ответов

но подобные атаки уже существуют и совсем не зависят от XMLHTTPRequest.

у было решено, что с помощьюXMLHTTPRequestдля выполнения вызовов XML не должны делать вызовы через границу домена? Вы можете извлечь JavaScript, изображения, CSS, iframes и любой другой контент, который я могу придумать, из других доменов. Почему ...

Задан 21 Jan 2009, 20:01 от Kibbee
  • 2 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Экранирующие переменные

мы читали, что этодостаточно и даже рекомендуется экранировать символы на выходе, а не на входе.Это может быть легко применено ко всем переменным get, поскол...

Задан 02 Nov 2012, 15:14 от user1615069
  • 5 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как очистить вход от MCE в ASP.NET?

Есть ли в C # утилита / функция для очистки исходного кода файла tinyMCE rich. Я хотел бы удалить опасные теги, но хотел бы добавить безопасные HTML-теги в б...

Задан 10 Jul 2013, 20:19 от Gengar
  • 18 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Что такое межсайтовый скриптинг?

Наэтот сайт [http://www.acunetix.com/websitesecurity/cross-site-scripting/] ( архивированный снимок [https://web.archive.org/web/20130320195518/http://www.acunetix.com/websitesecurity/cross-site-scripting/] ) в разделе «Теория XSS» ...

Задан 02 Apr 2013, 02:57 от Victor
  • 219 голосов
  • 9 ответов
  • 0 просмотров
9 ответов

Как предотвратить XSS с HTML / PHP?

Как предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP?Я видел множество других постов на эту тему, но я не нашел статьи, в которой бы че...

Задан 03 Jan 2010, 19:09 от TimTim
  • 43 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

IE8 XSS фильтр: что он на самом деле делает?

Internet Explorer 8 имеет новую функцию безопасности,XSS фильтр который пытается перехватить попытки межсайтового скриптинга. Это'описал так:Фильтр XSS, ...

Задан 12 Jan 2010, 18:12 от Ned Batchelder
  • 60 голосов
  • 9 ответов
  • 0 просмотров
9 ответов

Или, если Javascript используется каким-либо образом для изменения пользовательского ввода в целях графического интерфейса. Я столкнулся с уязвимостью XSS, которая сначала кодировала <> в <и> ... но когда перешла к этой функции, их снова заменили! Итак ... я полагаю, что это ваша профилактика XSS. :)

не волнуют другие виды атак. Просто хочу знать, может ли HTML Encode предотвратить все виды XSS-атак. Есть ли способ выполнить XSS-атаку, даже если используется HTML Encode?

Задан 10 Sep 2008, 10:03 от Niyaz
  • 12 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

как установить httponly и сессионный cookie для веб-приложения Java

Привет, я работаю над проблемой XSS (межсайтовый скриптинг). мое приложение разрабатывается на портале oracle weblogic. мы используем версию Servlet 2.5. Я добавил ниже 3 строки кода в фильтре для настройки httponly и безопасных куки. и работает ...

Задан 19 Mar 2013, 21:01 от Kiran
  • 8 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

Запретить изменение формы HTML

У меня есть форма на моей странице, где пользователи вводят данные своей кредитной карты. Можно ли в HTML помечать действие формы как постоянное, чтобы не дать вредоносному JavaScript изменить свойство действия формы? Я могу представить себе ...

Задан 19 Sep 2011, 19:01 от Michał Fronczyk
  • 10 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Межсайтовый скриптинг (XSS): нужно ли мне выходить из амперсанда?

Я хочу скрыться за XSS в контексте HTML, и до сих пор я рассматриваю<, >, а также" персонажи. По-видимому, рекомендуется также избегать амперсанда, но почему? (За исключением того, что HTML должен быть действительным, давайте предположим, что это ...

Задан 03 Feb 2012, 05:31 от Brent Gallagher
  • 4 голосов
  • 5 ответов
  • 0 просмотров
5 ответов

Лучшая практика Сохранять ли теги html в БД или сохранять значение сущности html?

Мне было интересно, каким образом я должен сделать следующее. Я использую крошечный редактор MCE wysiwyg, который форматирует данные пользователей с правильн...

Задан 05 May 2010, 22:43 от phpNutt
  • 1 голос
  • 3 ответа
  • 0 просмотров
3 ответа

Как предотвратить создание моего сайта другими?

Как я могу остановить загрузку моего сайта в рамку? Как можно увидеть здесь:http://yehg.net/lab/pr0js/pentest/cross_site_framing.php [http://yehg.net/lab/pr0js/pentest/cross_site_framing.php] Google.com не загружается, msn.com вырвется из ...

Задан 31 Oct 2012, 23:39 от mrc0der
  • 0 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

 проект. Он быстрее, имеет меньше зависимостей и активно поддерживается руководителем проекта. Я не думаю, что он прошел какие-либо релизы GA / Stable, поэтому вы должны учитывать это при оценке этой библиотеки.

я есть форма, в которую люди могут добавлять свои вещи. Однако в этой форме, если они вводят JavaScript, а не только текст, они могут легко вводить все, что ...

Задан 17 Nov 2010, 16:44 от paradisonoir
  • 19 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Почему Cloudfront загружает скрипты в мое веб-приложение? (Я этим не пользуюсь)

Я управляю защищенным веб-приложением PHP / MySQL с широким использованием jQuery. Сегодня в журналах нашего приложения появилась странная ошибка: JS Error: Error loading ...

Задан 08 Feb 2012, 16:58 от Andrew Ensley
  • 13 голосов
  • 5 ответов
  • 0 просмотров
5 ответов

Это непросто - вам нужно создать оболочку, вызываемую COM, установить на серверах и т. Д. Я просто не думаю, что она подходит для «классического» ASP.

тоящее время я пытаюсь защитить свое классическое приложение ASP от XSS. Я наткнулся на AntiXSS от Microsoft в сети, и мне было интересно, будет ли это работать с классическим приложением? Если нет, у вас есть идеи, как я могу провести ...

Задан 07 Apr 2009, 13:59 от Steoates
  • 62 голосов
  • 8 ответов
  • 0 просмотров
8 ответов

Предотвращение XSS в Node.js / на стороне сервера javascript

Любая идея, как можно было бы предотвратить атаки XSS на приложение node.js? Любые библиотеки, которые обрабатывают удаление javascript в hrefs, атрибутах on...

Задан 14 Sep 2010, 00:26 от Techwraith
  • 0 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Использование HTML Purifier на сайте с простым вводом текста

Я был бы признателен за ответ, чтобы урегулировать разногласия между мной и некоторыми сотрудниками.У нас есть типичное PHP / LAMP веб-приложение.Единственны...

Задан 04 Jun 2016, 13:26 от Leo149
  • 2 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как мне опубликовать сообщение в iFrame

Я ищу способ послать сообщение в iFrame одного брата без какого-либо javascript на родительской странице. Трудность, с которой я столкнулся, заключается в по...

Задан 16 Sep 2012, 22:29 от Axiverse
  • 2 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Почему в браузерах применяются политики Same-Origin, если существуют обходные пути, такие как JSONP и CORS?

Этот вопрос является своего рода дубликатом:Почему такая же политика происхождения для XMLHttpRequestОднако этот ответ не является удовлетворительным, поскол...

Задан 26 Feb 2015, 18:49 от James Watkins
  • 18 голосов
  • 5 ответов
  • 0 просмотров
5 ответов

Создание AntiForgeryToken в WebForms

У меня есть сайт .NET Webforms, спасибо за публикацию в моем приложении MVC, которое в настоящее время находится внутри сайта Webform как отдельное приложение. Приложению Webform необходимо отправить некоторые конфиденциальные значения ...

Задан 24 Aug 2009, 10:09 от Naz
  • 46 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Не обязательно безопасно помещать его в атрибуты mysql или url.

ли известная XSS или другая атака, которая делает это после $content = "some HTML code"; $content = strip_tags($content); echo $content;? руководство по эксплуатации [http://php.net/strip_tags]есть предупреждение: Эта функция не изменяет ...

Задан 26 Apr 2011, 09:40 от Pekka 웃
  • 18 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Что такое межсайтовый скриптинг?

Наэтот сайт (архивированный снимок) под &quot;Теория XSS, это говорит:хакер заражает легитимную веб-страницу своим вредоносным клиентским скриптомМой первый ...

Задан 02 Apr 2013, 00:57 от Victor
  • 2 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Могут ли разные субдомены одного приложения предотвращать злонамеренные атаки, такие как XSS?

В моем приложении Rails у меня есть 2 поддоменов,один :members.myapp.com которая является областью, разделяемой междувсе члены (где они могут войти и управля...

Задан 04 Mar 2015, 22:41 от medBouzid
  • 174 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Что такое http-заголовок «X-XSS-Protection»?

Так что теперь я разыгрываю HTTP для развлечения в telnet (то есть просто набираюtelnet google.com 80 и вставляя случайные GET и POST с разными заголовками и т.п.), но я наткнулся на то, что google.com передает в своих заголовках, которые я не ...

Задан 01 Feb 2012, 03:59 от midc111
  • 18 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

XSS Torture Test - существует ли он?

Я хочу написать html sanitiser, и, очевидно, чтобы проверить / доказать, что он работает должным образом, мне нужен набор примеров XSS, чтобы понять, как он ...

Задан 01 Nov 2008, 16:10 от JamShady
  • 4 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Почему междоменные запросы AJAX помечаются как «угроза безопасности»?

По умолчанию браузеры не разрешают межсайтовые запросы AJAX. Я понимаю, что плохо междоменный запросМожно быть угрозой безопасности. Если я возьму html или javascript внешнего сайта и просто "рендеринг" его на мой сайт, это проблема. Этот ...

Задан 10 Feb 2012, 12:57 от kikito
  • 13 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

Экранирование HTML в Java

Как мне убедиться, что я не избежал чего-то дважды? Я слышал, что рекомендуется избегать значений при получении их из формы, а также при выходе. Таким образом, у вас есть два шанса что-то поймать.

Задан 27 Jan 2010, 17:02 от Kyle
  • 5 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

вход URL, как защитить его от xss

У меня есть текстовое поле формы, которое принимает URL. Когда форма отправлена, я вставляю это поле в базу данных с надлежащей анти-sql-инъекцией. Мой вопро...

Задан 09 Nov 2009, 04:27 от drummer
Page 1 of 5
1 2 3 4 5