Вопросы по теме 'xss'

Почему междоменный Ajax представляет собой проблему безопасности?
Почему было решено, что использование XMLHTTPRequest для выполнения вызовов XML не должно выполнять вызовы через границу домена? Вы можете получать JavaScript, изображения, CSS, фреймы и практически любой другой контент из других доменов. Почему...
16543 просмотров
security ajax xss
schedule 10.02.2024
Написание XSS-фильтра для (X) HTML на основе белого списка
Мне нужно реализовать простой и эффективный фильтр XSS на C ++ для CppCMS . Я не могу использовать существующие высококачественные фильтры, написанные на PHP, потому что это высокопроизводительный фреймворк, использующий C ++. Основная идея...
4316 просмотров
html security filter xss grammar
schedule 20.03.2024
Как я могу прочитать заголовок страницы родительской страницы из iframe?
У меня есть страница, которая вызывает другую страницу (на другом сервере), и я хочу, чтобы эта страница читала заголовок с родительской страницы. Возможно ли это или есть какие-то проблемы с безопасностью?
5950 просмотров
javascript xss
schedule 03.11.2023
В чем разница между запросом по форме и запросом по ajax?
Я понимаю основные идеи XSS и политики того же происхождения, поэтому, если ваша реакция колена состоит в том, чтобы научить меня основам, вы можете продвинуться хотя бы на полшага вперед... Если javascript является клиентским, в какой момент...
577 просмотров
ajax xss
schedule 12.12.2023
Определение уязвимостей XSS-атак
Я столкнулся с безжалостной XSS-атакой, которую не могу предотвратить. На моем сайте есть три формы ввода: одна для загрузки изображений, одна для добавления комментариев на страницу, а третья отправляет электронное письмо через php. Я так или иначе...
679 просмотров
code-injection xss
schedule 11.01.2024
Предотвращение XSS в веб-приложении JSP / Servlet
Как я могу предотвратить атаки XSS в веб-приложении JSP / Servlet?
137431 просмотров
java security servlets xss jsp
schedule 14.05.2024
ASP.NET: Безопасен ли я в этой ситуации от внедрения SQL и XSS?
У меня есть веб-сайт ASP.NET, управляемый блогами. Под сообщением есть блок комментариев, позволяющий читателям оставлять комментарии. Я использовал для этого некоторые TextBoxes и TextArea. Чтобы предотвратить XSS: Я отфильтровал ввод с...
456 просмотров
asp.net xss sql-injection
schedule 07.12.2023
Какие настройки HTMLPurifier следует включить, чтобы разрешить HTML-шаблоны?
Я создаю сайт, который позволяет пользователям создавать свои собственные веб-сайты с помощью шаблонов HTML. Какую настройку HTMLPurifier следует использовать для блокировки XSS-атак? В моей системе шаблонов я бы разрешил им редактировать только...
357 просмотров
javascript php html xss htmlpurifier
schedule 31.03.2024
API для торговых сайтов, чтобы предоставить нашим пользователям кредиты для транзакций
Я работаю над коммерческим сайтом, который позволяет пользователям получать " баллы " за покупки на участвующих сайтах. прямо сейчас они должны отсканировать квитанцию, чтобы получить баллы. Мы хотим упростить это, представив API, который другие...
132 просмотров
java api xss
schedule 02.06.2024
Как правильно обрабатывать html-теги в текстовой области
У меня есть форма asp.net с элементом textarea (часть профиля участника — поле «Цели»). Я не возражаю против того, чтобы пользователи вводили туда html-теги, но asp.net не позволяет отправлять html-теги внутри текстовых полей по соображениям...
1585 просмотров
javascript asp.net escaping textarea xss
schedule 01.06.2024
Экранировать весь HTML, кроме ‹br›
Я пытаюсь отобразить комментарии на странице и у меня возникли проблемы. По сути, есть два разных типа комментариев, которые я пытаюсь обработать: (1) Тип XSS.. например. <script type="text/javascript">alert('hi')</script> . С...
7287 просмотров
php html xss html-entities
schedule 01.10.2022
Может ли кто-нибудь сказать мне, почему/как этот вектор XSS работает в браузере?
Я подвергся ряду XSS-атак на свой сайт. Следующий фрагмент HTML представляет собой вектор XSS, внедренный злоумышленником: <a href="mailto:"> <a href=\"http://www.google.com onmouseover=alert(/hacked/); \" target=\"_blank\"> <img...
1076 просмотров
security xss
schedule 01.04.2024
Заставьте Rails 3 дезинфицировать вывод по умолчанию, а не экранировать его.
По умолчанию Rails 3 экранирует строки, которые вы выводите напрямую, например, <%= '<h1>' %> отображается как &lt;h1&gt; . Из-за этого мне приходится много раздражающе делать это: <%= sanitize @post.body %>...
485 просмотров
ruby-on-rails escaping xss
schedule 19.01.2024
Достаточно ли этой функции для обнаружения xss?
Я нашел его в приложении «symphony CMS», оно очень маленькое: https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php#L100 И я думал о том, чтобы украсть его и использовать в своем собственном приложении для очистки строки с...
992 просмотров
php string xss
schedule 19.02.2024
Apache. Могу ли я создать прокси-сервер только с Apache?
У меня есть куча поддоменов на одном сервере: a.example.com b.example.com news.example.com Все они находятся на одном и том же виртуальном хосте Apache. Мне нужно использовать фид, предоставляемый поддоменом новостей внутри поддоменов...
263 просмотров
php apache cross-domain xss mod-rewrite
schedule 13.05.2024
Если пользователь просматривает только свои собственные данные — есть ли риск XSS?
Если мой сайт когда-либо позволит пользователям видеть только свои собственные отправленные данные и никогда не будет предоставлять данные, отправленные другим пользователем (т. е. никаких общих «сообщений» и т. д.), то существует ли на самом деле...
554 просмотров
php security xss
schedule 12.11.2022
Потеря разрыва строки AntiXSS HtmlEncode Textarea
Я разрабатываю веб-приложение на ASP.NET, и я получаю ввод текста от пользователей, а затем отображаю этот ввод на веб-сайте. При сохранении ввода в базу данных я не кодирую ввод и напрямую записываю их в БД. Если ввод содержит «ввод», я не хочу...
1609 просмотров
asp.net xss antixsslibrary html-encode
schedule 22.02.2024
Как я могу запретить AntiXSS Sanitizer удалять тег html5 ‹br› из сгенерированного AjaxControlToolkit HtmlEditorExtender html
Я добавил элемент управления ajax Htmleditorextender в свое веб-приложение asp.net, поместив в него дезинфицирующее средство XSS для безопасности XSS, но теперь, когда я извлекаю текст из Htmleditorextender, дезинфицирующее средство удаляет HTML5 из...
4001 просмотров
asp.net xss tinymce sanitization html-encode
schedule 24.02.2024
Этот скрипт iframe buster выглядит безопасным?
Нас просят разместить на нашем сайте несколько скриптов блокировки iframe — они позволяют рекламе, которая подается из внешних доменов в iframe, расширяться за их пределы на хост-страницу. Наш хостинг-провайдер предупредил нас, чтобы мы обращали...
867 просмотров
javascript security xss
schedule 08.02.2024
Заблокировать доступ к файлу с помощью htaccess
У меня есть .htaccess внутри папки с: Order Deny,Allow Deny from all Allow from localhost Satisfy Any Я пытаюсь ограничить доступ к файлу, содержащему хешированный ключ, только тем же доменом, чтобы избежать подделки межсайтовых запросов. Я...
219 просмотров
php apache xss .htaccess
schedule 03.01.2024