问题标签 [xss]

使用我一直使用的表格

让我的表格提交给自己。

我使用striptags()以防有人链接到：

我是否涵盖了所有基础，以防止 XSS 攻击，或者我应该使用更多的白名单方法，比如只允许字母数字字符、正斜杠、问号、等号、括号等的正则表达式？

谢谢！

是否有必要过滤/转义不安全的变量<title>或其他标签<head>以防止 XSS？

在以下 C# 代码隐藏中，XSS 的潜力在哪里？

这可以解决吗？谢谢。

我已经为一个问题苦苦挣扎了几个小时，我希望能在实现我的目标方面得到一些帮助，或者确认我正在尝试做的事情实际上是不可能的。

我有一个 webapp，它document.getSelection()从任意网页获取选定的文本 () 作为输入。虽然可以使用小书签相当轻松地编写此类脚本，但如果我可以使用 iframe 完成此操作，则对最终用户来说是最好的。

父框架是我使用此脚本的站点：

任意站点位于子框架中。除非子文档来自我的域，否则出于 XSS 安全原因禁止访问。我尝试了几种变体并尝试了破解，包括将 iframe 设置src为我的域，并使用第三方 URL 作为参数，然后重定向到第三方 URL。从某种意义上说，我很高兴它不起作用（因为如果它起作用了，那么XSS安全还有很长的路要走......）

另一种选择是下载第三方页面并像代理服务器一样从我的域提供它，但我已经遇到了一堆文件的相对路径问题，这些问题有时很容易成为绝对路径，但有时是傻瓜的差事（例如通过脚本访问文件时）。

我已经得出结论，我可能只是运气不好。也许我的案例的一个重要区别是我只想访问.getSelection()孩子的方法。无需能够访问 cookie 或击键或与 DOM 交互。也许这没有什么不同，但也许确实如此。

我最近对我工作的一个网站进行了安全审计。这是通过 Acunetix Web Vulnerability Scanner 完成的。这带来了一堆我正在整理的结果。

出现了很多关于 XSS 的点击，但我不确定它们是否是误报。

代码如：

以对 XSS 开放的方式回归。任何带有查询字符串的页面是否会返回可能对 XSS 开放，或者它是否足够聪明，知道我正在处理这个服务器端？

谢谢您的帮助。

在我的 ASP 网页中，我正在显示 SSN 号码

" 名称 ="txtSSNID" 大小 ="20">

Fortify Developer 工具将此检测为错误。我该如何解决这个问题。

我需要显示 SSN 编号，但问题是在 Fortify 开发人员工具中测试安全违规时不应捕获它

我意识到有几个用于 jQuery 的富文本编辑器，但我找不到任何具有关联类来执行接受输入到数据库中所需的过滤和清理。

这样的类存在吗？

我对 PHP 库特别感兴趣，但 .NET 也会很有趣。

什么是转义 HTML 以防止 Rails 应用程序中的 XSS 漏洞的推荐方法是什么？

您是否应该允许用户将任何文本放入数据库但在显示时对其进行转义？您是否应该添加 before_save 过滤器来转义输入？

我开发了一个 Web 应用程序，它允许我的用户在 LAMP 环境（debian、apache、php、mysql）中动态管理网站的某些方面（是的，某种 cms）

好吧，例如，他们在我的服务器上的私人区域创建新闻，然后通过 cURL 请求（或通过 ajax）在他们的网站上发布。

新闻是使用 WYSIWYG 编辑器创建的（目前为 fck，未来可能为 tinyMCE）。

所以，我不能禁止 html 标签，但我怎样才能安全呢？我必须删除什么样的标签（javascripts？）？这意味着服务器安全..但是如何“合法”安全？如果用户使用我的应用程序制作 xss，我会遇到一些法律问题吗？

我需要创建一个可移植的脚本，以提供给其他人在他们的网站上实现，该脚本将动态显示我的数据库（MySQL）中的内容。

我知道 AJAX 存在跨站点问题，但似乎 Google 的广告以某种方式以跨浏览器/跨站点方式管理效果。

知道我必须给人们一个简单的剪切/粘贴片段以放入他们的网站......我怎样才能做到这一点？谷歌是怎么做到的？