Вопросы по теме 'xss'

XSS Blacklist - кто-нибудь знает разумный?
В качестве временного быстрого исправления для снижения основного риска при работе над постоянным исправлением уязвимости XSS в очень большой базе кода я ищу уже существующий черный список предотвращения XSS, который выполняет разумную работу по...
3515 просмотров
javascript html security xss
schedule 13.01.2024
Строгая проверка HTML и фильтрация в PHP
Я ищу лучшие практики для выполнения строгой (белого списка) проверки/фильтрации HTML, отправленного пользователем. Основная цель — отфильтровать XSS и подобные гадости, которые могут быть введены через веб-формы. Вторичная цель - ограничить...
4960 просмотров
php validation html security xss
schedule 21.12.2022
У вас есть боеприпасы для тестирования SQL-инъекций?
Когда я читал о SQL-инъекциях и XSS, мне было интересно, есть ли у вас, ребята, одна строка, которую можно использовать для идентификации этих и других уязвимостей. Строка, которую можно добавить в базу данных веб-сайта, чтобы черный ящик проверил,...
11624 просмотров
testing xss sql-injection
schedule 31.03.2023
Предотвращение XSS (межсайтового скриптинга)
Допустим, у меня есть простое приложение для ведения блога ASP.NET MVC, и я хочу разрешить читателям добавлять комментарии к сообщению в блоге. Если я хочу предотвратить любые типы XSS-махинаций, я мог бы HTML-кодировать все комментарии, чтобы они...
4300 просмотров
security asp.net asp.net-mvc xss
schedule 28.08.2023
Как лучше всего фильтровать URL-адреса для ввода?
У меня есть форма, которая принимает URL-адреса от пользователей в PHP. Какие символы я должен разрешить или запретить? В настоящее время я использую $ input = preg_replace ("/ [^ a-zA-Z0-9 - \?: #. () \, / \ & \ '\\"] / "," ", $ string); $...
867 просмотров
url input parsing filter xss
schedule 24.02.2024
Нужно ли экранировать символы ‹ и › для строки javascript?
Иногда серверная сторона генерирует строки для встраивания во встроенный код JavaScript. Например, если «Имя пользователя» должно быть сгенерировано ASP.NET. Тогда похоже. <script> var username = "<%UserName%>"; </script>...
13075 просмотров
javascript html xss encode
schedule 27.09.2022
Как предотвратить уязвимость XSS с помощью Struts
Нам нужно добавить поддержку анти-XSS в наше приложение Struts. В частности, архитектор требует, чтобы весь пользовательский ввод был «дезинфицирован» перед сохранением в БД. Поскольку я не хочу изобретать квадратное колесо, какую библиотеку Java я...
7567 просмотров
java xss struts
schedule 05.04.2022
JavaScript - межсайтовый скриптинг - отказано в разрешении
У меня есть веб-приложение, для которого я пытаюсь использовать функцию Twitter OAuth. В этом приложении есть ссылка, по которой пользователю предлагается ввести учетные данные Twitter. Когда пользователь щелкает эту ссылку, открывается новое окно с...
4466 просмотров
javascript xss
schedule 29.03.2023
Межсайтовый скриптинг (XSS)
Я загружаю контент с другой страницы и в зависимости от содержимого страницы меняю содержимое моей страницы, и это вызывает у меня проблемы с межсайтовым скриптингом. Когда я использую iframe, поскольку содержимое из другого домена, содержимое...
2253 просмотров
ajax cross-domain xss dojo gwt
schedule 05.05.2022
как управлять безопасностью с добавленным пользователем внешним css (например, myspace)
У меня есть страница, которая была запрошена. Я разрешаю некоторую пользовательскую настройку с помощью CSS. Я рад сделать это, но пытаюсь понять, как сделать это безопасным. Существует не так много таблиц стилей, которые будут применены к...
300 просмотров
security css xss
schedule 17.02.2024
Как предотвратить использование XSS при разрешении простого форматирования и гиперссылки в веб-части Sharepoint?
Я создаю веб-часть для сайта Sharepoint, которая позволяет пользователю вводить информацию в текстовое поле, которое в конечном итоге будет показано другим пользователям. Проблема в том, что мне нужно разрешить простое форматирование (полужирный,...
393 просмотров
asp.net sharepoint web-parts xss
schedule 17.04.2024
Как предотвратить XSS с помощью HTML / PHP?
Как мне предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP? Я видел множество других сообщений по этой теме, но я не нашел статьи, которая четко и кратко описывала бы, как на самом деле предотвратить XSS.
270268 просмотров
php xss
schedule 11.08.2022
Это действительная XSS-атака
Мое понимание XSS-атак сосредоточено на людях, вводящих вредоносные данные через формы (постоянная XSS-атака). Однако я пытаюсь понять непостоянство. Это как пример (очевидно, предупреждение можно было бы заменить чем-то более зловещим...)...
1301 просмотров
xss
schedule 05.12.2023
Внесение в белый список, предотвращение XSS с контролем WMD в C #
Есть ли проблемы с тем, что я здесь делаю? Я впервые сталкиваюсь с чем-то подобным, и я просто хочу убедиться, что понимаю все риски и т. Д., Связанные с различными методами. Я использую WMD для ввода данных пользователем, и я показываю его с...
1151 просмотров
c# asp.net xss whitelist wmd
schedule 07.02.2022
Онлайн-конвертер/оболочка JSONP
Я хочу получить исходный файл и поместить его в JSONP . Например, я хочу получить pets.txt в виде текста с хоста, который мне не принадлежит. . Я хочу сделать это, используя только клиентский JavaScript. Я ищу онлайн-сервис, который может...
4760 просмотров
json cross-domain web-services xss jsonp
schedule 25.03.2024
Как запретить людям выполнять XSS в Spring MVC?
Что мне делать, чтобы предотвратить использование XSS в Spring MVC? Прямо сейчас я просто помещаю все места, где я выводю пользовательский текст, в теги JSTL <c:out> или fn:escapeXml() функции, но это кажется подверженным ошибкам, поскольку...
104385 просмотров
spring spring-mvc xss jsp html-escape-characters
schedule 22.03.2022
Кроссбраузерный способ загрузки каталога
Если это можно сделать только в некоторых браузерах, я все равно хотел бы знать, как... По сути, я хочу иметь функцию перетаскивания, когда пользователи могут перетаскивать файлы в зону перетаскивания, а затем нажимать «загрузить» и загружать файлы...
902 просмотров
javascript file-upload xss
schedule 12.06.2022
Существуют ли кроссплатформенные инструменты для записи XSS-атак прямо в базу данных?
Недавно я нашел эту запись в блоге об инструменте, который записывает XSS-атаки прямо в базу данных. Похоже, это ужасно хороший способ проверить приложение на наличие слабых мест в моих приложениях. Я пытался запустить его на Mono , поскольку...
737 просмотров
xss security-testing
schedule 30.08.2022
Зачем использовать белый список для очистки HTML?
Я часто задавался вопросом: зачем использовать белый список, а не черный, при очистке ввода HTML? Сколько хитрых HTML-трюков существует для открытия XSS-уязвимостей? Очевидно, что теги скриптов и фреймы не разрешены, и для полей в элементах HTML...
4780 просмотров
html xss whitelist
schedule 22.07.2022
Почему ValidateRequest=true недостаточно для предотвращения XSS?
В примечаниях к шагу 1 в "Как предотвратить межсайтовый скриптинг в ASP. .NET" указано, что вы не должны "полагаться на проверку запросов ASP.NET. Рассматривайте это как дополнительную меру предосторожности в дополнение к вашей собственной проверке...
2154 просмотров
.net c# asp.net xss
schedule 08.03.2024