Вопросы по теме 'xss'
Почему междоменный Ajax представляет собой проблему безопасности?
Почему было решено, что использование XMLHTTPRequest для выполнения вызовов XML не должно выполнять вызовы через границу домена? Вы можете получать JavaScript, изображения, CSS, фреймы и практически любой другой контент из других доменов. Почему...
16543 просмотров
schedule
10.02.2024
Написание XSS-фильтра для (X) HTML на основе белого списка
Мне нужно реализовать простой и эффективный фильтр XSS на C ++ для CppCMS . Я не могу использовать существующие высококачественные фильтры, написанные на PHP, потому что это высокопроизводительный фреймворк, использующий C ++.
Основная идея...
4316 просмотров
schedule
20.03.2024
Как я могу прочитать заголовок страницы родительской страницы из iframe?
У меня есть страница, которая вызывает другую страницу (на другом сервере), и я хочу, чтобы эта страница читала заголовок с родительской страницы. Возможно ли это или есть какие-то проблемы с безопасностью?
5950 просмотров
schedule
03.11.2023
В чем разница между запросом по форме и запросом по ajax?
Я понимаю основные идеи XSS и политики того же происхождения, поэтому, если ваша реакция колена состоит в том, чтобы научить меня основам, вы можете продвинуться хотя бы на полшага вперед...
Если javascript является клиентским, в какой момент...
577 просмотров
schedule
12.12.2023
Определение уязвимостей XSS-атак
Я столкнулся с безжалостной XSS-атакой, которую не могу предотвратить. На моем сайте есть три формы ввода: одна для загрузки изображений, одна для добавления комментариев на страницу, а третья отправляет электронное письмо через php. Я так или иначе...
679 просмотров
schedule
11.01.2024
Предотвращение XSS в веб-приложении JSP / Servlet
Как я могу предотвратить атаки XSS в веб-приложении JSP / Servlet?
137431 просмотров
schedule
14.05.2024
ASP.NET: Безопасен ли я в этой ситуации от внедрения SQL и XSS?
У меня есть веб-сайт ASP.NET, управляемый блогами. Под сообщением есть блок комментариев, позволяющий читателям оставлять комментарии.
Я использовал для этого некоторые TextBoxes и TextArea.
Чтобы предотвратить XSS:
Я отфильтровал ввод с...
456 просмотров
schedule
07.12.2023
Какие настройки HTMLPurifier следует включить, чтобы разрешить HTML-шаблоны?
Я создаю сайт, который позволяет пользователям создавать свои собственные веб-сайты с помощью шаблонов HTML. Какую настройку HTMLPurifier следует использовать для блокировки XSS-атак?
В моей системе шаблонов я бы разрешил им редактировать только...
357 просмотров
schedule
31.03.2024
API для торговых сайтов, чтобы предоставить нашим пользователям кредиты для транзакций
Я работаю над коммерческим сайтом, который позволяет пользователям получать " баллы " за покупки на участвующих сайтах. прямо сейчас они должны отсканировать квитанцию, чтобы получить баллы. Мы хотим упростить это, представив API, который другие...
132 просмотров
schedule
02.06.2024
Как правильно обрабатывать html-теги в текстовой области
У меня есть форма asp.net с элементом textarea (часть профиля участника — поле «Цели»). Я не возражаю против того, чтобы пользователи вводили туда html-теги, но asp.net не позволяет отправлять html-теги внутри текстовых полей по соображениям...
1585 просмотров
schedule
01.06.2024
Экранировать весь HTML, кроме ‹br›
Я пытаюсь отобразить комментарии на странице и у меня возникли проблемы.
По сути, есть два разных типа комментариев, которые я пытаюсь обработать:
(1) Тип XSS.. например. <script type="text/javascript">alert('hi')</script> . С...
7287 просмотров
schedule
01.10.2022
Может ли кто-нибудь сказать мне, почему/как этот вектор XSS работает в браузере?
Я подвергся ряду XSS-атак на свой сайт. Следующий фрагмент HTML представляет собой вектор XSS, внедренный злоумышленником:
<a href="mailto:">
<a href=\"http://www.google.com onmouseover=alert(/hacked/); \" target=\"_blank\">
<img...
1076 просмотров
schedule
01.04.2024
Заставьте Rails 3 дезинфицировать вывод по умолчанию, а не экранировать его.
По умолчанию Rails 3 экранирует строки, которые вы выводите напрямую, например, <%= '<h1>' %> отображается как <h1> .
Из-за этого мне приходится много раздражающе делать это:
<%= sanitize @post.body %>...
485 просмотров
schedule
19.01.2024
Достаточно ли этой функции для обнаружения xss?
Я нашел его в приложении «symphony CMS», оно очень маленькое:
https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php#L100
И я думал о том, чтобы украсть его и использовать в своем собственном приложении для очистки строки с...
992 просмотров
schedule
19.02.2024
Apache. Могу ли я создать прокси-сервер только с Apache?
У меня есть куча поддоменов на одном сервере:
a.example.com
b.example.com
news.example.com
Все они находятся на одном и том же виртуальном хосте Apache.
Мне нужно использовать фид, предоставляемый поддоменом новостей внутри поддоменов...
263 просмотров
schedule
13.05.2024
Если пользователь просматривает только свои собственные данные — есть ли риск XSS?
Если мой сайт когда-либо позволит пользователям видеть только свои собственные отправленные данные и никогда не будет предоставлять данные, отправленные другим пользователем (т. е. никаких общих «сообщений» и т. д.), то существует ли на самом деле...
554 просмотров
schedule
12.11.2022
Потеря разрыва строки AntiXSS HtmlEncode Textarea
Я разрабатываю веб-приложение на ASP.NET, и я получаю ввод текста от пользователей, а затем отображаю этот ввод на веб-сайте. При сохранении ввода в базу данных я не кодирую ввод и напрямую записываю их в БД.
Если ввод содержит «ввод», я не хочу...
1609 просмотров
schedule
22.02.2024
Как я могу запретить AntiXSS Sanitizer удалять тег html5 ‹br› из сгенерированного AjaxControlToolkit HtmlEditorExtender html
Я добавил элемент управления ajax Htmleditorextender в свое веб-приложение asp.net, поместив в него дезинфицирующее средство XSS для безопасности XSS, но теперь, когда я извлекаю текст из Htmleditorextender, дезинфицирующее средство удаляет HTML5 из...
4001 просмотров
schedule
24.02.2024
Этот скрипт iframe buster выглядит безопасным?
Нас просят разместить на нашем сайте несколько скриптов блокировки iframe — они позволяют рекламе, которая подается из внешних доменов в iframe, расширяться за их пределы на хост-страницу. Наш хостинг-провайдер предупредил нас, чтобы мы обращали...
867 просмотров
schedule
08.02.2024
Заблокировать доступ к файлу с помощью htaccess
У меня есть .htaccess внутри папки с:
Order Deny,Allow
Deny from all
Allow from localhost
Satisfy Any
Я пытаюсь ограничить доступ к файлу, содержащему хешированный ключ, только тем же доменом, чтобы избежать подделки межсайтовых запросов. Я...
219 просмотров
schedule
03.01.2024