Questions tagged «xss»

跨站点脚本(XSS)是一种计算机安全漏洞,通常在Web应用程序中发现,它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中。攻击者可以利用已利用的跨站点脚本漏洞绕过访问控制,例如同一原始策略。


10
如何使用HTML / PHP防止XSS?
如何仅使用HTML和PHP防止XSS(跨站点脚本)? 我已经看过许多其他有关该主题的文章,但是我还没有找到一篇文章清楚,简洁地说明如何实际防止XSS。
256 php  xss 

5
什么是HTTP标头“ X-XSS-Protection”?
因此,我一直在尝试通过HTTP在telnet中娱乐(例如,输入telnet google.com 80并放入带有不同标头等的随机GET和POST),但是我遇到了google.com在标头中传输的一些信息不知道 我一直在浏览http://www.w3.org/Protocols/rfc2616/rfc2616.html,却没有找到Google似乎在喷吐的特定http-header的定义: GET / HTTP/1.1 HTTP/1.1 200 OK Date: Wed, 01 Feb 2012 03:42:24 GMT Expires: -1 Cache-Control: private, max-age=0 Content-Type: text/html; charset=ISO-8859-1 Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly P3P: CP="This is not a P3P policy! See …
194 http  http-headers  xss 



10
警告:清理不安全的样式值网址
我想在Angular 2应用程序的组件模板中设置DIV的背景图像。但是,我在控制台中始终收到以下警告,但没有得到预期的效果...我不确定动态CSS背景图像是否由于Angular2中的安全限制而被阻止,或者我的HTML模板是否损坏。 这是我在控制台中看到的警告(我将img网址更改为/img/path/is/correct.png: 警告:清理不安全的样式值url(SafeValue必须使用[property] = binding:/img/path/is/correct.png(请参阅http://g.co/ng/security#xss))(请参阅http:// g.co/ng/security#xss)。 问题是我确实使用DomSanitizationServiceAngular2 清理了注入模板的内容。这是模板中的HTML: <div> <div> <div class="header" *ngIf="image" [style.background-image]="'url(' + image + ')'"> </div> <div class="zone"> <div> <div> <h1 [innerHTML]="header"></h1> </div> <div class="zone__content"> <p *ngFor="let contentSegment of content" [innerHTML]="contentSegment"></p> </div> </div> </div> </div> </div> 这是组件... Import { DomSanitizationService, SafeHtml, SafeUrl, SafeStyle } from '@angular/platform-browser'; …
107 typescript  angular  xss 


12
如何将参数传递给脚本标签?
我读了教程DIY小部件-如何将您的网站嵌入另一个由Nic博士制作的XSS小部件网站。 我正在寻找一种将参数传递给脚本标签的方法。例如,要进行以下工作: <script src="http://path/to/widget.js?param_a=1&param_b=3"></script> 有没有办法做到这一点? 两个有趣的链接: 如何将依赖jQuery的Javascript小部件嵌入未知环境(Stackoverflow讨论) 有关将参数传递到脚本标签的文章

3
您如何跨域使用window.postMessage?
似乎window.postMessage的重点是允许在不同域中托管的Windows /框架之间进行安全的通信,但实际上似乎不允许在Chrome中进行。 这是场景: 在域A的页面中嵌入<iframe>(src域B *为) <iframe>最终主要是一个<script>标记,在执行结束时... 我叫window.postMessage(some_data,page_on_A) <iframe>绝对是在域B的上下文中,并且我已经确认<iframe>中的嵌入式javascript可以正确执行并postMessage使用正确的值进行调用。 我在Chrome中收到以下错误消息: 无法发布消息到一个。收件人有产地乙。 这是在A页面上注册消息事件侦听器的代码: window.addEventListener( "message", function (event) { // Do something }, false); 我也尝试调用window.postMessage(some_data, '*'),但是所有要做的就是抑制错误。 我只是在这里遗漏了一点吗,window.postMessage(...)并非要这样做吗?还是我只是做错了什么? * MIME类型的text / html,必须保留。



2
什么是“顶级JSON数组”,为什么会有安全风险?
在下面的视频中,Microsoft PDC演示者在时间标记21:40表示,包装所有JSON以使其不是顶级数组很重要: https://channel9.msdn.com/Events/PDC/PDC09/FT12 解开顶层阵列的风险是什么? 我应该如何检查并确定自己是否脆弱?我从第三方购买了许多组件,并且有外部厂商来开发我的代码。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.