Вопросы с тегом 'xss'

Межсайтовый скриптинг (XSS) - это уязвимость компьютерной безопасности, обычно встречающаяся в веб-приложениях, которая позволяет злоумышленникам внедрять клиентскую сторону script на веб-страницы, просматриваемые другими пользователями. Атакующая уязвимость межсайтового скриптинга может использоваться злоумышленниками для обхода средств контроля доступа, таких как одна и та же политика происхождения.
18
ответов

Какой лучший метод для дезинфекции ввода пользователя с помощью PHP?

Есть ли где-нибудь функция catchall, которая хорошо работает для дезинфекции ввода пользователя для SQL-инъекций и атак XSS, но при этом допускает определенные типы html-тегов?
задан 24 сент. '08 в 23:20
9
ответов

Как предотвратить XSS с HTML/PHP?

Как предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP? Я видел множество других сообщений по этой теме, но я не нашел статью, в которой ясно и кратко сказано, как фактически предотвратить XSS.
задан 03 янв. '10 в 23:09
4
ответов

Что такое http-заголовок "X-XSS-Protection"?

Итак, я уже обсуждал HTTP с потерей в telnet сейчас (например, просто набрав "telnet google.com 80" и добавив случайные GET и POST с разными заголовками и т.п.), но я что-то встретил что google.com передает в него заголовки, которые я не знаю. Я про...
задан 01 февр. '12 в 6:59
6
ответов

Должны ли htmlspecialchars и mysql_real_escape_string сохранить код PHP безопасным от инъекции?

Ранее сегодня был задан вопрос о правилах проверки ввода в веб-приложениях. Верхний ответ, на момент написания, предлагает в PHP просто использовать htmlspecialchars и mysql_real_escape_string. Мой вопрос: этого всегда достаточно? Больше мы должны...
задан 21 сент. '08 в 11:58
3
ответов

Как вы используете window.postMessage через домены?

Кажется, что пункт window.postMessage - обеспечить безопасную связь между окнами/кадрами, размещенными на разных доменах, но это не так на самом деле, похоже, это разрешено в Chrome. Здесь сценарий: Вставить <iframe> (с src в домене B *) н...
задан 11 авг. '10 в 13:29
9
ответов

Как настроить cookie HttpOnly на PHP?

Как установить cookie в PHP apps как HttpOnly cookies?
задан 31 авг. '08 в 17:27
8
ответов

Как настроить cookie HttpOnly в tomcat/java webapps?

Прочитав сообщение в блоге Jeff на Защита ваших файлов cookie: HttpOnly. Я хотел бы реализовать файлы cookie HttpOnly в своем веб-приложении. Как вы говорите, что tomcat использует только HTTP файлы cookie для сеансов?
задан 29 авг. '08 в 0:09
20
ответов

Каковы наилучшие методы предотвращения атак xss на PHP-сайте

У меня PHP настроен так, что магические кавычки включены и регистрация глобальных переменных отключена. Я делаю все возможное, чтобы всегда вызывать htmlentities() для всего, что я выводил, который получен из пользовательского ввода. Я также иногда...
задан 16 сент. '08 в 14:20
6
ответов

Безопасен ли метод jQuery.text() XSS?

У меня нет данных от пользователей. Так безопасно использовать вот так: var data = '<test>a&f"#</test>'; // example data from ajax response if (typeof(data) === 'string') $('body').text(data); Могу ли я использовать подобное, ...
задан 16 марта '12 в 12:53
9
ответов

Будет ли кодирование HTML предотвращать все виды атак XSS?

Меня не интересуют другие виды атак. Просто хочу знать, может ли HTML Encode предотвращать все виды атак XSS. Есть ли способ сделать атаку XSS, даже если используется HTML Encode?
задан 10 сент. '08 в 13:03
7
ответов

Предотвращение XSS в Node.js/стороне сервера javascript

Любая идея, как можно было бы предотвратить атаки XSS в приложении node.js? Любые библиотеки, которые обрабатывают удаление javascript в hrefs, onclick attributes и т.д. из данных POSTed? Я не хочу писать регулярное выражение для всего этого:) Люб...
задан 14 сент. '10 в 3:26
2
ответов

Что такое "массивы JSON верхнего уровня" и почему они представляют угрозу безопасности?

В видео ниже, маркер времени 21:40, ведущий Microsoft PDC говорит, что важно, чтобы весь JSON был обернут, чтобы он не был массивом верхнего уровня: https://channel9.msdn.com/Events/PDC/PDC09/FT12 Каков риск развернутого массива верхнего уровня? ...
задан 17 авг. '10 в 16:48
7
ответов

Конечная чистая/безопасная функция

У меня есть много пользовательских входов от $_GET и $_POST... На данный момент я всегда пишу mysql_real_escape_string($_GET['var']).. Я хотел бы знать, можно ли сделать функцию, которая обеспечивает, ускоряет и очищает массивы $_GET/$_POST сразу,...
задан 19 нояб. '10 в 13:09
3
ответов

Как правильно вывести значения формы ввода html в php?

Учитывая следующие два фрагмента html/php: <input type="text" name="firstname" value="<?php echo $_POST['firstname']; ?>" /> и <textarea name="content"><?php echo $_POST['content']; ?></textarea> какую кодировку си...
задан 06 июня '11 в 10:56
8
ответов

Профилактика XSS в веб-приложении JSP/Servlet

Как предотвратить атаки XSS в веб-приложении JSP/Servlet?
задан 17 апр. '10 в 18:35