问题标签 [html-injections]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
94 浏览

php - html清理带来困难

我从数据库中读取用户配置文件并显示它们。在我向他们展示之前,我通过 php htmlentities 使用 HTML 清理。它正确地显示了它们。但是,虽然允许用户对其进行编辑,但它显示为双重过滤。

然后在输入中,&符号看起来像& 如果我不过滤变量,则担心 html 注入。

我应该怎么办?

0 投票
1 回答
661 浏览

c# - 你如何 jquery #tags 并在列表视图中动态设置 div id

大家好,我想动态设置 jquery id 和 listview div id 我在互联网上查看过,没有任何好的例子。

并设置

任何好的资源或想法链接?

谢谢

0 投票
8 回答
137322 浏览

javascript - 防止 Javascript 中的 HTML 和脚本注入

假设我有一个带有输入框的页面。用户在输入框中输入内容并点击按钮。该按钮触发一个函数,该函数获取输入到文本框中的值并将其输出到文本框下方的页面上,无论出于何种原因。

现在很难找到一个明确的答案,否则我不会问,但你将如何输出这个字符串:

这样既不执行脚本也不显示 HTML 元素?

我在这里真正要问的是,是否有一种标准方法可以避免在Javascript中同时注入 HTML 和 Script 注入。每个人似乎都有不同的方法(我使用的是 jQuery,所以我知道我可以简单地将字符串输出到文本元素而不是html元素,但这不是重点)。

0 投票
3 回答
2953 浏览

html - HTML注入到别人的网站?

我有一个嵌入网站的产品,类似于 Paypal(客户将我的按钮添加到他们的网站,用户单击此按钮,一旦服务完成,我会将他们重定向回原始网站)。

我想在不实际修改他们的实时网站的情况下向客户演示我的技术。为此,是否可以配置http://stackoverflow.myserver.com/使其镜像http://www.stackoverflow.com/同时无缝注入我的按钮?

意思是,我想演示在实时网站上使用我的按钮的体验,而无需在我的服务器上实际重新托管客户的数据库。

我知道这里存在安全问题,所以只要我们满足要求,请随时提及它们。我不需要为使用 HTTPS 的网站演示这个。

更具体地说,我想通过在页面中注入一个 Paypal 按钮来展示有关 Stackoverflow 问题的财务奖励的想法。我如何在不修改https://stackoverflow.com/的情况下演示这个http://stackoverflow.myserver.com/

重开请求:我已根据您的要求将问题改写为更具体。如果您仍然认为它过于宽泛,请通过在下面发表评论来帮助我理解您的推理。

更新:我在如何重写 Javascript 代码引用的 URL上发布了后续挑战?

更新 2:我放弃了小书签和 Greasemonkey 的想法,因为它们需要客户端安装/修改。我们需要使流程尽可能无缝,否则许多人会被流程关闭,不会让我们推销。

0 投票
1 回答
1072 浏览

javascript - $scope.$apply 在使用范围变量注入 html 时不起作用 - AngularJs

我有一个模板,我正试图注入我的页面

该模板已正确添加到我的主 html 页面,但是当我$scope.$apply()用来重新解析我的 html 时,它会改变任何内容。

我已经检查了断点,并且范围包含$scope.weeks它需要的数组。

这是我的控制器

};

关于我做错了什么的任何想法?

更新

如果我尝试 $compile(htmlWeekTemplate)($scope); 这就是我得到的

0 投票
0 回答
1228 浏览

html - 转义 html 以防止注入

我在一个 Rails 应用程序中构建一串 html 以发送到第三方电子邮件服务,如下所示:

一位同事告诉我,在构建这样的 html 时,总是要转义 html 实体,因为存在注入攻击的风险。我了解注入攻击的基础知识,但有人可以解释转义如何降低这种风险,以及我应该用什么来逃避?正在研究使用haml。谢谢!

0 投票
1 回答
899 浏览

google-chrome - 如何防止html注入(插入)以避免广告

我在避免浏览器中的广告方面遇到了问题。我搜索了许多工具并在浏览器中包含了扩展。我也重新安装了浏览器,但我无法停止在浏览器中填充广告。

有没有办法阻止这种情况?

提前致谢。

0 投票
0 回答
51 浏览

javascript - 类似 Buffer App 的 HTML 注入

安装插件后,每当您在浏览器中查看时,Buffer App 都会在 Twitter 页面上插入一个附加按钮。缓冲区按钮只是一个额外的分享按钮,它出现在 html 中,在 twitter 操作(转发、引用等)旁边放置了一个额外的按钮

您也可以使用修改源代码的 Firebug 或浏览器开发人员模式来执行此操作。

我想使用网页或框架和 JavaScript 做类似的事情(框架不是必须的)。

我有一个场景,我在框架内重定向到我无法控制的外部页面。我只能修改我的重定向页面。我需要从该外部页面中隐藏一些 DIV,使用 JQuery 应该不会太难。

但是我仍在考虑如何使用 JQuery 访问另一个文档的源(在另一个框架或 div 中)并对其进行修改。

关于如何实现这一目标的任何建议?或者,如果有替代解决方案,那也将受到欢迎。

0 投票
0 回答
235 浏览

html - 在 CodeIgniter 中防止 html 注入

我已经使用 codeignitor 开发了一个网站。我可以使用 XSS 的安全性,但我无法过滤 html。这导致表单和一些消息区域中的 html 注入。请告诉我如何修补这个?

0 投票
1 回答
164 浏览

javascript - JavaScript - 在显示之前过滤“<”是否足以保护 HTML?

在 JavaScript 中,如果我们过滤掉所有“小于”(“<”)字符然后将结果显示为 HTML,是否有任何已知的字符串会导致恶作剧?

这个问题特别解决了清理 ID 的问题。我正在寻找一个通用的 HTML 字符串。理想的答案是可以注入代码或其他潜在危险元素的字符串的最简单工作示例。