Questions tagged «xss»

是否有某个功能全面的功能可以很好地用于清理用户对SQL注入和XSS攻击的输入，同时仍然允许某些类型的HTML标签？

1124 php  security  xss  sql-injection  user-input 

如何仅使用HTML和PHP防止XSS（跨站点脚本）？ 我已经看过许多其他有关该主题的文章，但是我还没有找到一篇文章清楚，简洁地说明如何实际防止XSS。

256 php  xss 

因此，我一直在尝试通过HTTP在telnet中娱乐（例如，输入telnet google.com 80并放入带有不同标头等的随机GET和POST），但是我遇到了google.com在标头中传输的一些信息不知道 我一直在浏览http://www.w3.org/Protocols/rfc2616/rfc2616.html，却没有找到Google似乎在喷吐的特定http-header的定义： GET / HTTP/1.1 HTTP/1.1 200 OK Date: Wed, 01 Feb 2012 03:42:24 GMT Expires: -1 Cache-Control: private, max-age=0 Content-Type: text/html; charset=ISO-8859-1 Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly P3P: CP="This is not a P3P policy! See …

194 http  http-headers  xss 

今天早些时候，有人问了有关Web应用程序中输入验证策略的问题。 在撰写本文时，最高答案建议PHP仅使用htmlspecialchars和mysql_real_escape_string。 我的问题是：这是否总是足够？还有更多我们应该知道的吗？这些功能在哪里分解？

116 php  security  xss  sql-injection 

我在React教程上阅读了这一内容。这是什么意思？ React是安全的。我们不会生成HTML字符串，因此XSS保护是默认设置。 如果React安全，XSS攻击如何工作？如何实现这种安全性？

109 reactjs  security  xss 

我想在Angular 2应用程序的组件模板中设置DIV的背景图像。但是，我在控制台中始终收到以下警告，但没有得到预期的效果...我不确定动态CSS背景图像是否由于Angular2中的安全限制而被阻止，或者我的HTML模板是否损坏。 这是我在控制台中看到的警告（我将img网址更改为/img/path/is/correct.png： 警告：清理不安全的样式值url（SafeValue必须使用[property] = binding：/img/path/is/correct.png（请参阅http://g.co/ng/security#xss））（请参阅http：// g.co/ng/security#xss）。 问题是我确实使用DomSanitizationServiceAngular2 清理了注入模板的内容。这是模板中的HTML： <div> <div> <div class="header" *ngIf="image" [style.background-image]="'url(' + image + ')'"> </div> <div class="zone"> <div> <div> <h1 [innerHTML]="header"></h1> </div> <div class="zone__content"> <p *ngFor="let contentSegment of content" [innerHTML]="contentSegment"></p> </div> </div> </div> </div> </div> 这是组件... Import { DomSanitizationService, SafeHtml, SafeUrl, SafeStyle } from '@angular/platform-browser'; …

107 typescript  angular  xss 

如何在我的PHP appsas中设置cookie HttpOnly cookies？

93 php  security  cookies  xss  httponly 

我读了教程DIY小部件-如何将您的网站嵌入另一个由Nic博士制作的XSS小部件网站。 我正在寻找一种将参数传递给脚本标签的方法。例如，要进行以下工作： <script src="http://path/to/widget.js?param_a=1&param_b=3"></script> 有没有办法做到这一点？ 两个有趣的链接： 如何将依赖jQuery的Javascript小部件嵌入未知环境（Stackoverflow讨论） 有关将参数传递到脚本标签的文章

89 javascript  parameters  widget  xss  script-tag 

似乎window.postMessage的重点是允许在不同域中托管的Windows /框架之间进行安全的通信，但实际上似乎不允许在Chrome中进行。 这是场景： 在域A的页面中嵌入<iframe>（src域B *为） <iframe>最终主要是一个<script>标记，在执行结束时... 我叫window.postMessage（some_data，page_on_A） <iframe>绝对是在域B的上下文中，并且我已经确认<iframe>中的嵌入式javascript可以正确执行并postMessage使用正确的值进行调用。 我在Chrome中收到以下错误消息： 无法发布消息到一个。收件人有产地乙。 这是在A页面上注册消息事件侦听器的代码： window.addEventListener( "message", function (event) { // Do something }, false); 我也尝试调用window.postMessage(some_data, '*')，但是所有要做的就是抑制错误。 我只是在这里遗漏了一点吗，window.postMessage（...）并非要这样做吗？还是我只是做错了什么？ * MIME类型的text / html，必须保留。

88 javascript  html  google-chrome  xss 

阅读Jeff关于保护您的Cookie的博客文章：HttpOnly。我想在我的Web应用程序中实现HttpOnly cookie。 您如何告诉tomcat在会话中仅使用http cookie？

77 java  security  cookies  xss  httponly 

如何防止JSP / Servlet Web应用程序中的XSS攻击？

75 java  security  jsp  servlets  xss 

在下面的视频中，Microsoft PDC演示者在时间标记21:40表示，包装所有JSON以使其不是顶级数组很重要： https://channel9.msdn.com/Events/PDC/PDC09/FT12 解开顶层阵列的风险是什么？ 我应该如何检查并确定自己是否脆弱？我从第三方购买了许多组件，并且有外部厂商来开发我的代码。

73 javascript  json  security  xss 

知道如何防止对node.js应用程序进行XSS攻击吗？在那里处理删除href，onclick属性等中的javascript的任何库。从发布的数据？ 我不想为所有这些写正则表达式:) 有什么建议？

68 xss  node.js  serverside-javascript