问题标签 [xss]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
perl - HTML::StripScripts 对于删除现代漏洞仍然安全吗?
我需要一种在 Perl 中去除顽皮东西的方法,例如 XSS、图像插入和作品。
我找到了HTML::StripScripts,但它已经有近两年没有更新了,而且我也不了解所有新的漏洞。
安全吗?
您会使用哪些其他标记语言(在 Perl 中)?
xss - 防止 XSS 是 Web 应用程序更喜欢 POST 而不是 GET 的正当理由吗?
Web 应用程序的当前趋势似乎是对所有内容都使用 GET 请求。具体来说,使用描述服务、命令及其参数的 RESTful URL。几个月前,Jeff Atwood 发布了 XSS 的危险。他展示了即使允许用户在您的网站上发布像“img”标签这样看似无害的东西也可能导致 XSS 漏洞。原因是浏览器会盲目地请求“src”属性中的 url,这可能会做一些令人讨厌的事情,比如注销用户,或者更不祥的事情。
十年前我第一次开始做 Web 开发时,传统的看法是对于表单总是偏爱 POST 而不是 GET,并且服务器端的应用程序需要 POST 来提交表单,正是这个原因。浏览器一直发送 GET 请求(就像前面提到的“img”标签示例),但它们只在某些情况下发送 POST 请求(特别是“method”属性设置为 POST 的表单)。通过要求 POST,您似乎可以消除大部分 XSS 攻击。这是偏爱他们的正当理由吗?
javascript - 跨不同域访问 iframe 元素
我了解跨站点脚本 (xss) 不好,并且在大多数浏览器中不受支持。但是,我正在构建一个仅供我公司内大约 3 或 4 人使用的页面。在这个页面上,我有一个来自另一个域的框架,我需要父页面才能访问该框架中的值。
所以我的问题是,有没有办法(更改设置等)在 Firefox 或 IE7 中允许这种情况发生?最好(尽管不一定)任何设置更改都明确针对我的域。
我在网上找到了一些帮助,说在 FF 中你可以添加 capability.policy 来允许这样做。不过我没有运气,也许FF3不支持。
javascript - 从 HTML 中过滤 JavaScript
我有一个将 HTML 传递给服务器的富文本编辑器。然后将该 HTML 显示给其他用户。我想确保该 HTML 中没有 JavaScript。有没有办法做到这一点?
另外,如果有帮助,我正在使用 ASP.NET。
security - PHP 中的 htmlspecialchars() 或 Ruby on Rails 中的 h() 是否足以防御所有 XSS(跨站点脚本)攻击?
htmlspcialchars($user_data)
PHP 或Ruby on Rails是否h(user_data)
足以防御所有 XSS(跨站点脚本)攻击?使用的编码或任何其他可能的考虑因素如何?
regex - 如何使用带有 C# 正则表达式的白名单拒绝名称(人员和公司)?
我使用 C# 正则表达式在 Web 输入上实现允许字符的白名单时遇到了一些问题。我试图避免 SQL 注入和 XSS 攻击。我读过允许字符的白名单是要走的路。
输入是人名和公司名。
其中一些问题是:
有和号的公司名称。比如“吉姆父子”。& 号很重要,但也有风险。
名称中的 Unicode 字符(例如,我们有亚洲客户),使用他们的字符集输入他们的名字。我需要将所有这些都列入白名单。
- 公司名称可以有各种斜线,如“S/A”和“S\A”。这些有风险吗?
在看到数据库中已经存在的所有数据(并且由新用户输入)之后,我发现自己想要允许几乎每个字符。
对于处理这些(和其他)问题的良好白名单有什么建议吗?
注意:这是一个遗留系统,所以我无法控制所有代码。我希望通过防止不良数据首先进入系统来减少攻击次数。
asp.net - AntiXss.JavaScriptEncode 是否有充分的理由将结果包装成单引号?
我一直在使用Microsoft 的 AntiXss 库,想知道它的方法是否有充分的理由JavaScriptEncode
将结果用单引号括起来?这种行为似乎不合常规。
xss - 防止 XSS 攻击
我正在创建一个网页,用户可以在其中交互并在远程计算机上执行基本的文件系统操作(创建文件/目录、删除文件/目录、导航文件系统)。该网页是基本的 HTML(UTF-8 编码)和 Javascript。我需要让这个网页 XSS 证明。
使用Javascript(输出百分比编码的十六进制值)转义用户输入中的所有非字母数字字符(以防止基于DOM的XSS)和文件名信息(以防止存储的XSS)就足够了吗?
我基本上只将字母数字输入列入白名单。此外,由于我使用的是百分比编码的十六进制值,我假设不应该存在 UTF 编码漏洞。
谁能想到这个机制中的任何安全漏洞?
javascript - 禁用跨站点访问时,是否有任何方法可以绕过 NS_ERROR_DOM_BAD_URI?
我正在为我的大学做 XSS 报告,我正在做一些使用 AJAX 调用外部网页的测试。
我用于此示例的代码非常简单,我的目标案例研究之一是能够通过禁用跨站点的 AJAX 调用外部网页。
笔记:
我只打算在 FireFox 上使用它,我并不关心 IE 的兼容性。
现在这里的问题是未捕获的异常:访问受限 URI 被拒绝 (NS_ERROR_DOM_BAD_URI)被抛出。我一直在四处寻找,我发现绕过这个的最好的信息是使用带有 json 的 jquery,但这不适合我,另一个例子是这个(法语)。
谁能解释我如何做到这一点?还是由于相同的原产地政策而无法解决?
编辑:
如果有人知道,谷歌如何通过谷歌分析发布这些值?或者这个问题只发生在get而不是post?一些帮助会很好。
javascript - 是否有可用于过滤 XSS 攻击字符串的 javascript 库?
是否有类似于 HTMLPurifier 之类的库的 Javascript 等价物,可以从字符串中删除 XSS 代码?