问题标签 [html-injections]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - RuntimeError:主线程不在使用 Matplotlib 和 Django 的主循环中
我正在创建一个 Matplotlib 图以显示在我的 Django 应用程序的 HTML 模板中。我将此图发送到 HTML,方法是将其保存在我的静态文件下,然后img使用保存的.png. views.py在得到对这个数字的参考后,我会这样做。
我的 HTML 是这样的:
但是,这会导致RuntimeError: main thread is not in main loop在 myviews.py中的函数被第二次调用时发生(如果在一切正常时调用它)。为了防止这个错误,我将 Matplotlib 图保存到main()as 在主线程中运行,然后在我的原始函数中调用它。这修复了错误,但阻止了我的 HTML 重新加载,因此每次用户提交查询时,新图形都会显示在前一个图形上,而不会删除前一个图形。关于任何问题的任何想法?
javascript - 我应该如何使用 javascript 更改带有变量的注入 HTML 元素?
问题:注入包含 javascript 的 HTML 的最佳做法是什么?
在页面中加载内容的脚本:
页:
响应文本:
所以我正在注入包含脚本的 HTML。但是脚本没有执行。我应该如何在注入中更改变量 HTML?
javascript - XSS(跨站点脚本)与 HTML 注入
我们如何准确区分 XSS 和 html 注入。这两者都属于代码注入,XSS 主要与 Java Script 相关,但也包括其他其他元素,如Mitre中所述。引用此来源:
在页面生成期间,应用程序不会阻止数据包含可由 Web 浏览器执行的内容,例如 JavaScript、HTML 标记、HTML 属性、鼠标事件、Flash、ActiveX 等。
虽然 HTML 主要与注入 HTML 代码有关,如果我浏览OWASP 的这个页面,它会指出 HTML 注入是一种 XSS。引用此来源:
如果这些方法提供了不受信任的输入,那么XSS 的风险很高,特别是 HTML 注入。
另一方面,许多消息来源声称 HTML 注入是 XSS 的子集,例如OWASP 的这个页面。引用此来源:
跨站脚本,更广为人知的 XSS,实际上是HTML 注入的一个子集
有消息来源试图解释两者之间的差异,但似乎没有一个是令人满意的答案(而是有争议的)。那么它们到底有什么不同呢?可以将其中一个视为另一个的子集吗?
javascript - 我应该防止在密码字段中注入 JavaScript 吗?
我找到了很多关于 JavaScript 注入的信息,但没有找到任何具体的password领域。
对于我的测试 GMail 帐户,我能够设置下一个密码<Script>alert(document.cookie);</script> 并且它可以正常工作。
我应该只将<and编码>为它们的 HTML 等效项吗?
如何处理此类密码?
编辑#1:
我将密码作为哈希值存储在数据库中(这里的 JavaScript 注入没有问题)。我想为密码可见性添加一个切换。<在这种情况下,我应该将and编码>为它们的 HTML 等价物,就这样吗?
javascript - DOMPurify 在标签之间保留文本 || 仅删除标签
我有一个测试字符串。
我正在尝试删除所有 html 内容和{{ , }} , {% , %}。但我想保留有用的信息并保持文字不变。
空字符串中的干净结果。我应该使用什么配置来做到这一点?
angular - 在重定向到新的 SPA 页面时在标头中传递身份验证令牌
假设这些:
我们实现了一个普通的 Angular SPA (B),它的 index.html 和其他资源简单地托管在 IIS 中,并且有一个简单的重写规则来处理 Angular 中的路由。Angular 中的用户需要登录,他们会获得一个 JWT 令牌,并将其存储在浏览器存储中。
有一个网站(A)想要将用户重定向到 Angular 网站,但我们也想将 JWT 令牌从 A 传递到 B,因为令牌是相同的,我们希望阻止用户再次登录。
网站 A 可以在重定向到 B 时在post 请求标头中发送令牌。问题是 JS (Angular) 无法直接获取标头参数,因为它们正在发送到 IIS。
问题:
在 IIS 中有没有办法,我们可以从请求中获取令牌并在检索 index.html 时将其设置为 html 属性?因此,JS 可以检查它的 html 元素并找到令牌。
上述技术正确吗?如果没有,你能给出你的建议吗?
php - PHP 验证 HTML 以防止 html/xss 注入
我需要实现用户发送一些内容的逻辑(它可以只是一个字符串,也可以是 HTML 标记的一部分),我们将该信息存储到数据库中,并在某个时间段内,我们替换基本电子邮件模板具有该数据的占位符并发送该电子邮件。
并且用户发送的数据有可能包含一些 HTML/XSS 注入。我们如何在将数据存储到数据库之前有效地验证数据???
javascript - Javascript重定向并注入新页面
我正在为我自己的私人用途编写一个基于弹出窗口的 Web 扩展。它基本上对我来说是一项重复性的任务,即检查几个网站的信息。
访问站点的顺序由弹出窗口控制。为了能够逐页浏览页面,我希望扩展弹出窗口将浏览器窗口转发到该站点并设置一个 onload 事件,以便在加载完整的 html 后返回通信。
相关的扩展代码目前如下所示:
如果所有相关的侦听器都已设置好,这样网站和扩展程序之间就可以进行通信,这将起作用。
但是,我不喜欢每次加载新网站时弹出窗口必须休眠 5 秒,以便将getSource操作应用于完全加载的下一页而不是当前页面。到目前为止,我还没有找到一种方法来启动重定向并立即为要加载的 url 设置一个 onload 事件。
如何改进此代码?
python - 从模型 django 中获取用户的用户名
不太确定是否有重复的问题,可能是,但我找不到
我在这里有这段代码(models.py)
如您所见,我正在尝试使用 alias 属性获取用户名,但它不起作用,有人可以帮助我吗,基本上,我希望以后能够编辑布尔字段(我可以那)但我不知道我正在编辑哪个用户,如果有办法通过 HTML 注入直接获取用户名会更好,但我只需要一种方法来显示我正在编辑哪个用户
顺便说一句,我登录的用户并不总是同一个用户,所以我不能只使用用户
谢谢
编辑: Views.py