Вопросы с тегом 'xss'

Межсайтовый скриптинг (XSS) - это уязвимость компьютерной безопасности, обычно встречающаяся в веб-приложениях, которая позволяет злоумышленникам внедрять клиентскую сторону script на веб-страницы, просматриваемые другими пользователями. Атакующая уязвимость межсайтового скриптинга может использоваться злоумышленниками для обхода средств контроля доступа, таких как одна и та же политика происхождения.
19

Как я могу санировать ввод пользователя с помощью PHP?

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?
24 сент. '08 в 20:20
9

Как предотвратить XSS с HTML/PHP?

Как предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP? Я видел множество других сообщений по этой теме, но я не нашел статью, в которой ясно и кратко сказано, как фактически предотвратить XSS.
03 янв. '09 в 20:09
4

Что такое http-заголовок "X-XSS-Protection"?

Итак, я уже обсуждал HTTP с потерей в telnet сейчас (например, просто набрав "telnet google.com 80" и добавив случайные GET и POST с разными заголовками и т.п.), но я что-то встретил что google.com передает в него заголовки, которые я не знаю. Я про...
01 февр. '12 в 3:59
6

Должны ли htmlspecialchars и mysql_real_escape_string сохранить код PHP безопасным от инъекции?

Ранее сегодня был задан вопрос о правилах проверки ввода в веб-приложениях. Верхний ответ, на момент написания, предлагает в PHP просто использовать htmlspecialchars и mysql_real_escape_string. Мой вопрос: этого всегда достаточно? Больше мы должны...
21 сент. '08 в 8:58
3

Как вы используете window.postMessage через домены?

Кажется, что пункт window.postMessage - обеспечить безопасную связь между окнами/кадрами, размещенными на разных доменах, но это не так на самом деле, похоже, это разрешено в Chrome. Здесь сценарий: Вставить <iframe> (с src в домене B *) н...
11 авг. '10 в 10:29
9

Как настроить cookie HttpOnly на PHP?

Как установить cookie в PHP apps как HttpOnly cookies?
31 авг. '08 в 14:27
9

Как настроить cookie HttpOnly в tomcat/java webapps?

Прочитав сообщение в блоге Jeff на Защита ваших файлов cookie: HttpOnly. Я хотел бы реализовать файлы cookie HttpOnly в своем веб-приложении. Как вы говорите, что tomcat использует только HTTP файлы cookie для сеансов?
28 авг. '08 в 21:09
8

ПРЕДУПРЕЖДЕНИЕ: очистка небезопасного значения значения стиля

Я хочу установить фоновое изображение DIV в шаблоне компонентов в приложении Angular 2. Однако я продолжаю получать следующее предупреждение в своей консоли, и я не получаю желаемого эффекта... Я не уверен, что фоновое изображение динамического CSS ...
26 июл. '16 в 15:04
20

Каковы наилучшие методы предотвращения атак xss на PHP-сайте

У меня PHP настроен так, что магические кавычки включены и регистрация глобальных переменных отключена. Я делаю все возможное, чтобы всегда вызывать htmlentities() для всего, что я выводил, который получен из пользовательского ввода. Я также иногда...
16 сент. '08 в 11:20
5

Как правильно вывести значения формы ввода html в php?

Учитывая следующие два фрагмента HTML/PHP: <input type="text" name="firstname" value="<?php echo $_POST['firstname']; ?>" /> а также <textarea name="content"><?php echo $_POST['content']; ?></textarea> какую кодиров...
06 июн. '11 в 7:56
7

Предотвращение XSS в Node.js/стороне сервера javascript

Любая идея, как можно было бы предотвратить атаки XSS в приложении node.js? Любые библиотеки, которые обрабатывают удаление javascript в hrefs, onclick attributes и т.д. из данных POSTed? Я не хочу писать регулярное выражение для всего этого:) Люб...
14 сент. '10 в 0:26
9

Будет ли кодирование HTML предотвращать все виды атак XSS?

Меня не интересуют другие виды атак. Просто хочу знать, может ли HTML Encode предотвращать все виды атак XSS. Есть ли способ сделать атаку XSS, даже если используется HTML Encode?
10 сент. '08 в 10:03
6

Безопасен ли метод jQuery.text() XSS?

У меня нет данных от пользователей. Так безопасно использовать вот так: var data = '<test>a&f"#</test>'; // example data from ajax response if (typeof(data) === 'string') $('body').text(data); Могу ли я использовать подобное, ...
16 мар. '12 в 9:53
2

Что такое "массивы JSON верхнего уровня" и почему они представляют угрозу безопасности?

В видео ниже, маркер времени 21:40, ведущий Microsoft PDC говорит, что важно, чтобы весь JSON был обернут, чтобы он не был массивом верхнего уровня: https://channel9.msdn.com/Events/PDC/PDC09/FT12 Каков риск развернутого массива верхнего уровня? ...
17 авг. '10 в 13:48
7

Конечная чистая/безопасная функция

У меня есть много пользовательских входов от $_GET и $_POST... На данный момент я всегда пишу mysql_real_escape_string($_GET['var']).. Я хотел бы знать, можно ли сделать функцию, которая обеспечивает, ускоряет и очищает массивы $_GET/$_POST сразу,...
19 нояб. '10 в 10:09