Лучшие xss вопросы ИТ разработчиков

  • 6 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Этот код уязвим для атак XSS?

Вопрос возник из этого: Почему браузер изменяет идентификатор элемента HTML, который содержит & # x? [https://stackoverflow.com/questions/14519250/why-does-the-browser-modify-the-id-of-an-html-element-that-contains-x] Учитывая следующую ...

Задан 25 Jan 2013, 12:09 от eckes
  • 9 голосов
  • 7 ответов
  • 0 просмотров
7 ответов

Достаточно ли Markdown (с strip_tags), чтобы остановить XSS-атаки?

Я работаю над веб-приложением, которое позволяет пользователям вводить краткие описания элементов в каталоге. Я разрешаю Markdown в моих текстовых полях, что...

Задан 04 Aug 2009, 09:01 от Andrew
  • 3 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

@nannie спасибо.

ичок, просто чтобы прояснить. Я много слышу об экранировании данных для предотвращения атак XSS. Как мне на самом деле это сделать? Это то, что я делаю в настоящее время - $s = mysqli_real_escape_string($connect,$_POST['name']));Этого ...

Задан 28 Feb 2011, 11:44 от Chrism
  • 5 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

вход URL, как защитить его от xss

У меня есть текстовое поле формы, которое принимает URL. Когда форма отправлена, я вставляю это поле в базу данных с надлежащей анти-sql-инъекцией. Мой вопро...

Задан 09 Nov 2009, 04:27 от drummer
  • 5 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Возможны ли атаки XSS через адреса электронной почты?

Интересно, можно ли использовать адрес электронной почты для атак XSS.Позволять'Предположим, что есть веб-сайт, на котором можно зарегистрироваться и ука...

Задан 05 Jul 2013, 01:53 от Lajos Arpad
  • 6 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Безопасный чат Node.js (избегайте XSS)

Я создаю простой маленький чат с Node.js и socket.io Когда пользователь вводит свое сообщение, оно передается всем остальным пользователям. Сервер отправляет сообщение: io.sockets.emit('fromServerToClient', { "message": message });Клиент ...

Задан 20 Jun 2013, 23:51 от mimipc
  • 23 голосов
  • 8 ответов
  • 0 просмотров
8 ответов

Межсайтовые запросы AJAX

Мне нужно сделать запрос AJAX с веб-сайта на веб-службу REST, размещенную в другом домене.Хотя это отлично работает в Internet Explorer, другие браузеры, так...

Задан 02 Dec 2008, 10:11 от Enrico Campidoglio
  • 7 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как я могу html_escape текстовые данные в приложении sinatra?

У меня есть небольшое приложение Sinatra, которое генерирует фрагменты HTML для меня из шаблона ERB. Как мне html_escape выводить? Помощник <% = h somestring%> не существует в Синатре.

Задан 23 Jan 2010, 15:09 от marshally
  • 12 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

; это не смягчается той же самой политикой происхождения, и поэтому для серверов крайне важно защитить себя от нее.

//en.wikipedia.org/wiki/Same_origin_policy [http://en.wikipedia.org/wiki/Same_origin_policy] Та же самая политика происхождения не позволяет сценарию общаться с другим сайтом. Вики говорит, что это «важная концепция безопасности», но мне не ...

Задан 19 Jul 2011, 08:26 от Gordon Wrigley
  • 5 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

ha.ckers.org/xss.html

я из того, что я понимаю в отношении того, что делает ASP.NET, и моего личного тестирования различных тестов XSS, я обнаружил, что мой веб-сайт ASP.NET 4 не требует каких-либо предупреждений XSS. Считаете ли вы, что веб-сайту ASP.NET 4.0 ...

Задан 01 Aug 2011, 20:28 от Dexter
  • 5 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Совместите предварительный HTML-код редактора ОМУ с проверкой HTML на стороне сервера (например, без встроенного кода JavaScript)

Есть много вопросов переполнения стека (например,Белый список, предотвращающий XSS с контролем ОМУ в C # а такжеУценка ОМУ и на стороне сервера) о том, как в...

Задан 14 May 2010, 20:59 от Justi,n Grant
  • 2 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Почему метка x = txtName.Text; попадает под XSS-атаку и что здесь за профилактика?

У меня есть следующий код: label x = txtName.Text;Когда группа безопасности проанализировала dll, они сказали, что можно выполнить XSS-атаку на приведенный выше код. Я знаю текстовое полеText свойство не предотвращает XSS-атаку, так что мне ...

Задан 01 Jul 2013, 16:06 от Praveen Verma
  • 5 голосов
  • 6 ответов
  • 0 просмотров
6 ответов

Белый список .NET HTML (анти-xss / межсайтовый скриптинг)

У меня есть распространенная ситуация, когда у меня есть пользовательский ввод, который использует подмножество HTML (ввод с помощью tinyMCE). Мне нужна неко...

Задан 03 Aug 2009, 19:01 от Clyde
  • 0 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Предупреждение: trim () ожидает, что параметр 1 будет строкой, а массив задан в скрипте php

У меня есть скрипт PHP, когда я выполнил этот код, я получил предупреждение Предупреждение: trim () ожидает, что параметр 1 будет строкой, а массив указан в home / public_html я добавил функцию antixss для уязвимости безопасности, как этот код ...

Задан 02 Jan 2014, 20:03 от user3154864
  • 18 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Что такое межсайтовый скриптинг?

Наэтот сайт [http://www.acunetix.com/websitesecurity/cross-site-scripting/] ( архивированный снимок [https://web.archive.org/web/20130320195518/http://www.acunetix.com/websitesecurity/cross-site-scripting/] ) в разделе «Теория XSS» ...

Задан 02 Apr 2013, 02:57 от Victor
  • 0 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Использование HTML Purifier на сайте с простым вводом текста

Я был бы признателен за ответ, чтобы урегулировать разногласия между мной и некоторыми сотрудниками.У нас есть типичное PHP / LAMP веб-приложение.Единственны...

Задан 04 Jun 2016, 13:26 от Leo149
  • 8 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Получите это, я очевидно прочитал это иначе, чем вы имели в виду. Во всяком случае, я согласен.

ит ли это от того, будет ли ввод печататься для пользователя? В моем случае мне нужно вернуть ввод обратно пользователю (комментарии и биография). Спасибо!!!

Задан 29 Aug 2011, 16:16 от KRB
  • 11 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Является ли createTextNode полностью защищенным от внедрения HTML и XSS?

Я работаю над одностраничным веб-приложением. Я делаю рендеринг, напрямую создавая DOM-узлы. В частности, все предоставленные пользователем данные добавляютс...

Задан 21 Jan 2016, 15:04 от Brian Reischl
  • 43 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

IE8 XSS фильтр: что он на самом деле делает?

Internet Explorer 8 имеет новую функцию безопасности,XSS фильтр [http://msdn.microsoft.com/en-us/library/dd565647%28VS.85%29.aspx]который пытается перехватить попытки межсайтового скриптинга. Это описано так: Фильтр XSS, новая для Internet ...

Задан 12 Jan 2010, 19:12 от Ned Batchelder
  • 13 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Требует ли ASP.NET MVC 4 дополнительной обработки XSS по умолчанию

ASP.NET MVC 4 по умолчанию игнорирует ввод HTML в почтовом сообщении. Если я не принимаю HTML явно, нужно ли писать какой-либо код для защиты своего сайта от...

Задан 02 Oct 2012, 14:11 от Mark13426
  • 219 голосов
  • 9 ответов
  • 0 просмотров
9 ответов

Как предотвратить XSS с HTML / PHP?

Как предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP?Я видел множество других постов на эту тему, но я не нашел статьи, в которой бы че...

Задан 03 Jan 2010, 19:09 от TimTim
  • 5 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Межсайтовый скриптинг

Я тестирую веб-приложение. Я хочу написатьXSS скрипт, который будет отображать предупреждение"Hello". Первый сценарий, который я написал, был: <script >alert("Hello");</script >Но не отображать предупреждение"Hello", Я обнаружил, чтоXSS скрипт, ...

Задан 28 Feb 2013, 12:34 от IBK
  • 5 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как очистить вход от MCE в ASP.NET?

Есть ли в C # утилита / функция для очистки исходного кода файла tinyMCE rich. Я хотел бы удалить опасные теги, но хотел бы добавить безопасные HTML-теги в белый список.

Задан 10 Jul 2013, 22:19 от Gengar
  • 22 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

3v4l.org/fAjod

сто создаю регистрационную форму, и мне нужно только вставить действительные и безопасные электронные письма в базу данных. Несколько сайтов (включая w3schools) рекомендуют запускать FILTER_SANITIZE_EMAIL перед запуском FILTER_VALIDATE_EMAIL для ...

Задан 03 Sep 2011, 01:52 от Alex
  • 30 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

Что такое межсайтовое включение сценариев (XSSI)?

Я недавно видел XSSI, упомянутый на нескольких страницах, напримерЭксплуатация и защита веб-приложений [http://google-gruyere.appspot.com/part3]: Браузеры не позволяют страницам одного домена читать страницы в других доменах. Но они не мешают ...

Задан 06 Nov 2011, 16:36 от Pankrat
  • 1 голос
  • 2 ответа
  • 0 просмотров
2 ответа

в этом вопросе / ответе

тирую одно из моих веб-приложений, используяAcunetix [http://www.acunetix.com], Чтобы защитить этот проект от атак XSS, я использовалОчиститель HTML [http://htmlpurifier.org/], Эта библиотека рекомендована большинством разработчиков PHP для этой ...

Задан 15 Nov 2017, 20:59 от Mohammad Saberi
  • 11 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Уценка и XSS

Итак, я читал об уценке здесь, в SO и в других местах, и шаги между пользовательским вводом и БД обычно задаются как конвертировать уценку в HTMLдезинфицировать HTML (с белым списком)вставить в базу данныхно для меня имеет смысл сделать ...

Задан 06 Nov 2009, 21:30 от psb
  • 2 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как мне опубликовать сообщение в iFrame

Я ищу способ послать сообщение в iFrame одного брата без какого-либо javascript на родительской странице. Трудность, с которой я столкнулся, заключается в по...

Задан 16 Sep 2012, 22:29 от Axiverse
  • 34 голосов
  • 4 ответа
  • 0 просмотров
4 ответа

Простой пример атаки межсайтового скриптинга [закрыто]

Может кто-нибудь показать мнеМежсайтовый скриптинг [http://en.wikipedia.org/wiki/Cross-site_scripting]действующая атака на мой браузер? Есть ли в Интернете пример, который это делает? Я не нашел этого в интернете. Чем проще пример, тем лучше.

Задан 06 Mar 2012, 12:45 от Skuli
  • 9 голосов
  • 7 ответов
  • 0 просмотров
7 ответов

Достаточно ли Markdown (с strip_tags), чтобы остановить XSS-атаки?

я работаю над веб-приложением, которое позволяет пользователям вводить краткие описания элементов в каталоге. Я&#39;Я разрешаю Markdown в моих текстовых поля...

Задан 04 Aug 2009, 07:01 от Andrew
  • 43 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

IE8 XSS фильтр: что он на самом деле делает?

Internet Explorer 8 имеет новую функцию безопасности,XSS фильтр который пытается перехватить попытки межсайтового скриптинга. Это&#39;описал так:Фильтр XSS, ...

Задан 12 Jan 2010, 18:12 от Ned Batchelder
  • 9 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Как избежать «межсайтовых скриптовых атак»

Как избежать межсайтовых скриптовых атак?Межсайтовые скриптовые атаки (или жемежсайтовый скриптинг), если у вас, например, есть гостевая книга на вашей домаш...

Задан 09 Aug 2010, 11:48 от Latze
  • 1 голос
  • 2 ответа
  • 0 просмотров
2 ответа

Как хранить HTML-теги в базе данных?

Я создаю свой новый сайт. Теперь я учусь и использую Symfony. У меня есть несколько вопросов. Почему по умолчанию Symfony позволяет добавлять теги HTML в базу данных? Например, я создаю новый модуль, я иду в модуль / новый, в заголовке ...

Задан 23 Oct 2011, 15:49 от Gryz Oshea
  • 1029 голосов
  • 18 ответов
  • 0 просмотров
18 ответов

Какой самый лучший метод для дезинфекции ввода пользователя с помощью PHP?

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?

Задан 24 Sep 2008, 20:20 от Brent
  • 6 голосов
  • 3 ответа
  • 0 просмотров
3 ответа

Java 5 HTML для предотвращения XSS

Я смотрю на некоторые предупреждения XSS в моем приложении Java.В настоящее время у меня есть пользовательские процедуры, которые будут избегать любого HTML,...

Задан 25 Feb 2010, 11:28 от AJM
  • 65 голосов
  • 2 ответа
  • 0 просмотров
2 ответа

Что такое «массивы JSON верхнего уровня» и почему они представляют угрозу безопасности?

В видео ниже, во временном маркере 21:40, ведущий Microsoft PDC говорит, что важно, чтобы весь JSON был упакован, чтобы он не был массивом верхнего уровня:ht...

Задан 17 Aug 2010, 13:48 от random65537
  • 27 голосов
  • 6 ответов
  • 0 просмотров
6 ответов

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

ытался поставить это: <meta http-equiv="X-XSS-Protection" content="0">в<head> тег, но не повезло. Я пытаюсь избавиться от надоедливого IE, предотвращающего обход сайтов

Задан 08 Jan 2011, 18:20 от Aly
  • 3 голосов
  • 1 ответ
  • 0 просмотров
1 ответ

Что бы вы ни придумали, обязательно протестируйте его со всеми примерами, на которые вы ссылаетесь, и убедитесь, что оно проходит все эти примеры. Удачи!

ужно реализовать простой и эффективный фильтр XSS в C ++ дляCppCMS [http://cppcms.sourceforge.net], Я не могу использовать существующие высококачественные фильтры, написанные на PHP, потому что это высокопроизводительная среда, которая использует ...

Задан 15 Feb 2009, 19:56 от Artyom
  • 45 голосов
  • 8 ответов
  • 0 просмотров
8 ответов

 - А как бы вы навязали это решение своим пользователям, не отталкивая их всех?

учаю этот хромовый флаг при попытке опубликовать, а затем получить простую форму.Проблема в том, что консоль разработчика ничего не показывает по этому повод...

Задан 06 Apr 2017, 08:39 от rpfc
Page 3 of 5