问题标签 [xss]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
testing - 你有任何 SQL 注入测试“Ammo”吗?
在阅读 SQL 注入和 XSS 时,我想知道你们是否有一个字符串可以用来识别这些漏洞和其他漏洞。
一个字符串,可以被扔到网站数据库中以黑盒检查该字段是否安全。(将对一些内部工具进行大型测试)
粗略的例子,想知道你们是否知道更多?
“一个”或“1”=“1”
"center'> <脚本>alert('test')</script>"
编辑:在 SO 上找到了一个不错的XSS 问题
asp.net-mvc - 为什么从 ASP.net MVC 中取出验证请求?
在标准的 ASP.net 应用程序中,ASP.net 提供了一些针对 XSS 攻击的保护,如果有人尝试,则使用 validateRequest throwing 检测危险的输入错误。此功能似乎已从 MVC 中删除,知道为什么吗?
html - 从 HREF 中删除 Javascript
我们希望允许“正常”href 链接到其他网页,但我们不想让任何人潜入客户端脚本。
在 HREF 和 onclick/onmouseover/etc 中搜索“javascript:”。活动够好吗?或者还有其他需要检查的东西吗?
javascript - 跨站 AJAX 请求
我需要从网站向托管在另一个域中的 REST Web 服务发出 AJAX 请求。
尽管这在 Internet Explorer 中运行良好,但其他浏览器(例如 Mozilla 和 Google Chrome)施加了更严格的安全限制,禁止跨站点 AJAX 请求。
问题是我无法控制域或托管站点的 Web 服务器。这意味着我的 REST Web 服务必须在其他地方运行,并且我无法实施任何重定向机制。
下面是进行异步调用的 JavaScript 代码:
我怎样才能在 Internet Explorer 以外的其他浏览器中进行这项工作?
ajax - 像“http://sharethis.com/”这样的小部件是如何进行看似 XSS 调用的
像这样的工具如何使 ajax 样式回调到中心站点?基本上他们给你一个“标签放在你的网站上。所以在这个小部件中,你可以要求向你发送一封电子邮件,以获取你当前所在的页面。我假设这会产生一个 ajax样式回调以分享发送电子邮件的人。但是,如果您的服务器上没有代理,并且浏览器不会将其作为 XSS 漏洞利用来阻止,他们怎么能做到这一点呢?
对此的任何答案将不胜感激,感谢您的帮助。我假设使用 Flickr API 会带来同样的挑战?
javascript - 跨站 XMLHttpRequest
我想提供一段 Javascript 代码,它可以在包含它的任何网站上运行,但它总是需要在托管 Javascript 的服务器上获取更多数据(甚至修改数据)。我知道出于显而易见的原因存在安全限制。
考虑托管在 xyz.com 上的 index.html,其中包含以下内容:
some.js 能否使用 XMLHttpRequest 将数据发布到 abc.com?换句话说,abc.com 是否因为我们从那里加载了 Javascript 而被隐式信任?
c# - 从 AntiXSS v3 输出中清理 html 编码文本(#decimal 表示法)
我想在博客引擎 XSS 安全中发表评论。尝试了很多不同的方法,但发现非常困难。
当我显示评论时,我首先使用Microsoft AntiXss 3.0对整个内容进行 html 编码。然后我尝试使用白名单方法对安全标签进行 html 解码。
在 refactormycode 的 Atwood 的“Sanitize HTML”线程中查看Steve Downing 的示例。
我的问题是 AntiXss 库将值编码为 &#DECIMAL; 符号,我不知道如何重写史蒂夫的例子,因为我的正则表达式知识有限。
我尝试了以下代码,我只是将实体替换为十进制形式,但它不能正常工作。
我的重写:
我的输入测试html是:
AntiXss 之后变成:
当我运行上面的 Sanitize(string html) 版本时,它给了我:
正则表达式匹配我不想要的白名单中的脚本。对此的任何帮助将不胜感激。
xss - 允许在表单输入中使用代码片段,同时防止 XSS 和 SQL 注入攻击
如何在防止 XSS、SQL 注入和相关攻击的同时允许将代码片段输入到 FCKeditor 或任何其他编辑器之类的编辑器中(就像 stackoverflow 一样)。
xss - 防止来自第三方站点的 HTML 表单中的 XSS
基础:
- 我有一个使用 php 来验证表单的联系表单。(除了客户端)这可以用任何服务器端语言完成。
- 服务器端仅允许某些字段使用 Az 0-9(仅在极其有限的范围内将此字段验证为英语是可以接受的)
- 如果表单包含错误,我会重新填充字段,以便用户在再次提交之前不必重新输入
- 我愿意不让其他网站张贴到我的表格,即使在那里可以找到合法用途。
我可以轻松地在另一个网站上制作一个表单,将脏词发布到字段中。根据验证规则,某些脏话是完全合法的,但我的员工显然不希望发生这种情况。
我的印象是,专门的黑客可以影响 cookie、php 会话,当然隐藏字段很容易与引荐来源等一起欺骗。如何阻止第三方网站发布到我的页面?
请随时帮助我谷歌这件事。我的搜索词很弱,提出我知道会失败的方法。
如果有人通过他们网站上的表单提交“d03boy 吃猫”并让人们点击将其提交到我的表单的链接怎么办?(承认这是可能的,我的公司不能接受任何风险)然后,当用户点击他们在“名称”字段中看到的链接时,“d03boy 吃猫”非常生气,并就我们网站的内容联系了 PETA。我们只是无法向用户解释发生了什么。诚然,什么都没发生,但我的雇主不能接受让单个用户感到不安。
我们目前的解决方案是不报告任何用户输入,在我看来这是一个很大的可用性问题。
c# - 我应该在输入字段中对值进行 html 编码吗?
我应该使用哪个?
或者