xss — все вопросы

2ответа
4 голоса
Какую версию MS Anti-XSS вы используете?
Я вижу, что есть версия 1.5 и 3.0 beta , но я не могу найти версию 2. Это просто дурацкая версия MS? Вы используете 3.0? Вы бы порекомендовали это, или я должен придерживаться 1,5?
1ответ
4 голоса
Предотвращение XSS, Tidy vs Purifier?
Привет, Я пытаюсь предотвратить использование XKEditor (неправильный редактор WYSIWYG) XSS и неправильного HTML-кода в полях ввода. Как мне отфильтровать эти данные на стороне сервера? Я сравн
1ответ
4 голоса
Взлом PHP eval (gzinflate (base64_decode (..))) - как предотвратить повторение?
Недавно у нас был взломан сайт, на котором в файл index.php был вставлен некоторый код PHP, который выглядел примерно так: eval (gzinflate(base64_decode('s127ezsS/...bA236UA1'))); Код вызывал в
3ответа
4 голоса
Есть ли риск, что в текстовой области будет отображаться необработанный пользовательский ввод?
Я сохраняю две версии пользовательского ввода в следующей последовательности: Ненадежный пользователь вводит необработанную уценку. Необработанная уценка хранится в одной таблице. Копия исхо
1ответ
4 голоса
Codeigniter xss_clean дилемма
Я знаю, что этот вопрос задавали снова и снова, но я до сих пор не нашел идеальный ответ на свой вкус, так что снова и снова ... Я много и много читаю поляризационных комментариев о xss_filter CI
2ответа
4 голоса
CSRF-токен и XSS-уязвимость
Допустим, мы используем токен CSRF в наших формах, но бывает, что на нашем сайте есть незамеченная дыра XSS. Насколько я понимаю, в этом случае защита токена CSRF полностью аннулирована, поскольк
1ответ
4 голоса
Как предотвратить XSS-атаки с помощью приложения SpringMVC + Jackson?
В шпаргалке для межсайтовых сценариев есть много правил защиты XSS атаки. Я хотел бы реализовать эти предложения в своем веб-приложении, которое использует Spring MVC + Jackson + JPA + Hibernate B
1ответ
4 голоса
Что может пойти не так в сценариях, у которых нет протокола в URL-адресе src?
Совершенно ли безопасно пропускать протокол из URL-адреса сценариев src, которые обслуживаются как из http и https протоколы? Например, код jQuery через Google CDN можно открыть следующим образом
1ответ
4 голоса
Escape-фильтр Джанго и XSS
Я хотел бы иметь возможность шаблонировать некоторые переменные JavaScript, используя язык шаблонов Django. У меня ситуация примерно такая, где foo - это строка Python пользовательских данных (читай
2ответа
4 голоса
Назначение атрибутов массовой модели yii и проблемы безопасности xss
$model->attributes = $_GET[ 'Submission' ]; Это выглядит очень страшно для меня, но именно так yii назначает атрибуты модели. Является ли это угрозой безопасности для XSS? Разве это не должно б
2ответа
4 голоса
Можно ли считать эти методы javascript безопасными для XSS?
Я реализую так называемое «одностраничное приложение», которое принимает JSON в качестве входных данных. Это также означает, что весь HTML отображается в браузере, а также все шаблоны (я использую н
1ответ
4 голоса
Классический ASP - защита от HTTP-заголовков
Я пытаюсь защитить классическое веб-приложение ASP от атак XSS, введенных через заголовок HTTP, и мне не удается найти решение, которое останавливает сценарии, найденные в строке User Agent. Вот
3ответа
4 голоса
Защита одностраничного приложения из CSRF и XSS с использованием CSP + localStorage
У меня есть одностраничное приложение, содержащее конфиденциальный контент, и его необходимо защитить. Этот вопрос специфичен для защиты от атак XSS и CSRF. Объяснение: было предложено много ме
1ответ
4 голоса
NGINX, ssl, CORS и кэширование межсайтового значения Access-Control-Allow-Origin
Я пытаюсь написать конфигурацию nginx, которая будет обрабатывать два сайта как по http, так и по https. Кажется, это работает, пока клиент никогда не посещает оба сайта, но если они это делают, воз
3ответа
4 голоса
rails - обернуть HTML-элемент вокруг текста link_to () в коде ruby ​​без отключения экранирования
Это довольно просто, но мне не повезло найти что-либо в документации по Rails. Существует вспомогательный метод представления (код Ruby, не HAML), который возвращает link_to(user_controlled_text
1ответ
4 голоса
Странное поведение шаблона строки при создании объекта Function
Поскольку я дурачился с проблемами XSS, я столкнулся со странным поведением при создании объекта Function с использованием строк шаблона (`` вместо скобок) в Javascript. Как я понимаю, при вызове
2ответа
4 голоса
Использование jQuery для отключения наследования CSS
Есть ли способ использовать jQuery (или универсальный javascript) для отключения наследования CSS на уровне блоков? Например, если я извлекаю внешний ресурс с помощью javascript, например, pastie.or
4ответа
4 голоса
XSS, кодирование обратного URL
Вот уязвимый код <?php header("Location: ".$_POST['target']); ?> Как правильно убирать неприятные вещи, попадающие в цель?
4ответа
4 голоса
Междоменные запросы
У меня есть файл скрипта, загруженный из mydomain.com, который делает ajax-запросы к этому домену. Однако скрипт загружается в какой-то другой домен, который инициализирует его, а затем сообщает, ко
1ответ
4 голоса
Смешайте неанизированные данные, HTML в переменной шаблона усов
Я пытаюсь передать сообщение шаблону усов, который выглядит примерно так: Указанный вами URL http://example.com недействителен. Пользователь указывает URL-адрес, поэтому его необходимо экранир
1 2 3 4 5

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132