问题标签 [xss]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
247 浏览

xss - 通知潜在客户有关安全漏洞的信息?

我们与潜在客户进行了很多公开讨论,他们经常询问我们的技术专长水平,包括我们当前项目的工作范围。为了衡量他们现在或以前使用过的员工的专业水平,我做的第一件事是检查 XSS 和 SQL 注入等安全漏洞。我还没有找到易受攻击的潜在客户,但我开始怀疑,他们是否真的认为这项调查有帮助,或者他们是否会认为,“嗯,如果我们不与他们做生意,这些人会破坏我们的网站。” 非技术人员很容易被这些东西吓到,所以我想知道这是一种善意的表现,还是一种糟糕的商业行为?

0 投票
10 回答
57475 浏览

security - HTML Encoding 会阻止各种 XSS 攻击吗?

我不关心其他类型的攻击。只想知道 HTML Encode 是否可以防止各种 XSS 攻击。

即使使用 HTML 编码,是否有某种方法可以进行 XSS 攻击?

0 投票
7 回答
5963 浏览

xss - 如何安全地使用 fckEditor,没有跨站脚本的风险?

此链接描述了使用 fckEditor 对我的应用程序的利用:http: //knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html

如何在仍然使用 fckEditor 的同时确保我的应用程序安全?它是 fckEditor 配置吗?从 fckEditor 获取文本后,我应该在服务器端进行一些处理吗?

这是一个难题,因为 fckEditor使用html 标签进行格式化,所以当我显示文本时不能只进行 HTML 编码。

0 投票
20 回答
28252 浏览

php - 在 PHP 站点中避免 xss 攻击的最佳实践是什么

我配置了 PHP,以便打开魔术引号并关闭全局寄存器。

对于我输出的任何源自用户输入的内容,我都会尽我所能调用 htmlentities()。

我也偶尔会在我的数据库中搜索附加的 xss 中使用的常见内容,例如...

我还应该做什么以及如何确保我想做的事情总是完成。

0 投票
4 回答
763 浏览

xss - 如何允许使用while 防止 XSS?

我正在使用 ASP.NET Web 窗体进行博客风格的评论。

编辑1:这看起来比我最初想的要复杂得多。你如何过滤src?
我宁愿仍然使用真正的 html 标签,但如果事情变得太复杂,我可能会采用自定义路线。我还没有做过任何 XML,所以我需要了解更多吗?

0 投票
7 回答
2026 浏览

security - 在 Web 开发期间,我将花费多少时间在用户输入验证上?

我是在网络上开发东西的新手。到目前为止,我花了很多时间(50% 左右)来尝试防止坏人将诸如 sql 注入之类的东西放入我的输入表单并在服务器端验证它。这是正常的吗?

0 投票
6 回答
70085 浏览

php - htmlspecialchars 和 mysql_real_escape_string 是否可以防止我的 PHP 代码被注入?

今天早些时候,有人问了一个关于Web 应用程序中的输入验证策略的问题。

在撰写本文时,最佳答案建议PHP仅使用htmlspecialcharsand mysql_real_escape_string

我的问题是:这总是足够吗?还有更多我们应该知道的吗?这些功能在哪里分解?

0 投票
6 回答
3594 浏览

javascript - XSS 黑名单 - 有人知道合理的黑名单吗?

作为在非常大的代码库中对 XSS 漏洞进行永久修复时减轻主要风险的临时快速修复,我正在寻找一个预先存在的 XSS 预防黑名单,它可以合理地防止 XSS。

最好是一组正则表达式。我知道有很多用于测试和烟雾测试等的备忘单,我正在寻找的是用于阻止攻击的预先调整的正则表达式。

我完全知道最好的方法是输出转义,或者如果您需要用户的一些标记才能使用白名单。但是,随着代码库的大小,我们需要一些快速的东西来减少漏洞的直接影响并提高标准,同时致力于真正的解决方案。

有没有人知道一个好的集合?

0 投票
2 回答
2250 浏览

xss - 您如何使用 html 敏捷包进行 htmlencode?

有人做过吗?基本上,我想通过保留 h1、h2、em 等基本标签来使用 html;清除 img 和 a 标签中的所有非 http 地址;和 HTMLEncode 每隔一个标签。

我被困在 HTML 编码部分。我知道要删除一个节点,您执行“node.ParentNode.RemoveChild(node);” 其中 node 是 HtmlNode 类的对象。我不想删除节点,而是想对它进行 HTMLEncode。

0 投票
18 回答
613540 浏览

php - 如何使用 PHP 清理用户输入?

是否有一个包罗万象的功能可以很好地清理用户输入以进行 SQL 注入和 XSS 攻击,同时仍然允许某些类型的 HTML 标记?