1回答
跨站脚本( XSS )是由于spring中的缺陷而发生的攻击,XSS是前端问题,browsers.As没有遵循任何机制来防御XSS吗?
浏览 1提问于2018-06-01得票数 0
1回答
我读了一些文档,他们说OWASP是用于web应用程序的安全目的。但我不清楚这一点。谁能告诉我的目的,有什么区别正常的应用程序(没有owasp)和安全应用程序(有owasp),为什么我们需要它。你能给我一些可运行的angularjs例子来做以下事情吗
1)A2:跨站脚本(XSS)
2)A3:破解的认证和会话管理
3)A4:不安全的直接对象引用
4)A5:跨站请求伪造
5)A6:安全配置错误
6)A7:不安全的加密存储
7)A9:传输层保护不足
浏览 2提问于2016-03-01得票数 0
我想停止跨站点脚本在一个文本区域。下面作为输入数据的代码对于文本区域将是脆弱的:
<script>alert("Hello")</script>
有人能在这方面帮助防止使用示例代码的跨站点脚本吗?
浏览 4提问于2016-09-22得票数 3
我想为一些网站启用跨站点脚本。具体地说,我想提交一个网页表单到第三方网站,我已经为网页表单的响应设置了一个子iframe的目标iframe,现在我希望我的代码在主窗口中检索响应网页的内容。
我假设只需在Internet Explorer中禁用XSS筛选器即可完成上述操作,这样的假设正确吗?或者还需要一些其他的东西?另外,我如何在Firefox中启用跨站点脚本(对于相同的场景?)
浏览 3提问于2011-08-20得票数 1
回答已采纳
我试图使用jQuery的ajax方法访问不同域上的web服务。在做了一些研究之后,它看起来不允许这样做,这是为了防止跨站点脚本。
我遇到了一个解决方案,其中包括这一行:
$.support.cors = true;
在我的javascript代码的顶部。据我所知,这可以在jQuery中实现跨站点脚本。
拥有这行代码会让我的站点更容易受到攻击吗?我经常听到XSS作为一个安全问题被讨论,XSS有合法的用途吗?
浏览 3提问于2011-10-22得票数 52
回答已采纳
2回答
由于只使用HTTP标志来减轻跨站点脚本的影响,所以我们不能在web应用程序上执行XSS?
如果可以的话,在HTTPOnly旗帜为真的情况下,有哪些最好的实时示例?
浏览 0提问于2019-04-28得票数 -2
回答已采纳
2回答
我想知道云盾是否与nodejs兼容。
我知道,阿迪诺云与cylonjs和nodejs一起工作,但不与Arduino mega或uno一起工作。
谢谢!
浏览 10提问于2015-12-21得票数 4
回答已采纳
1回答
虽然XSS和CSRF攻击的整个方法完全不同,但主要的区别是:
XSS -在brwoser上运行一个脚本
CSRF -从浏览器发送(HTTP)请求。
正确吗(回答是或否就够了)?
谢谢
浏览 0提问于2017-06-16得票数 -1
回答已采纳
我一直在调查OWASP预防CSRF攻击的建议( )。
现在,我不明白的是,这将如何防止攻击,这是一个XSS和CSRF攻击的组合。假设我们有以下攻击场景:
攻击者能够执行存储的XSS攻击,因此每次用户访问该页面时都会执行攻击者在网站上插入的脚本。
这个脚本将完全重新设计DOM,例如,攻击者的脚本将重新设计DOM,而不是原来的表单,用户需要提供一些不相关的信息,以便将该表单重新设计为添加具有管理权限的用户的表单。注意,用户不会看到这一点,因为字段的标签将保持不变。只有这个职位会有所不同。
攻击者知道该网站使用反CSRF令牌。查看OWASP建议:‘(..)应用程序应该包含一个具有公共名
浏览 2提问于2013-09-23得票数 0
回答已采纳
3回答
跨不同域访问iframe元素
、、、、
我知道跨站脚本(xss)并不好,大多数浏览器都不支持它。然而,我正在构建一个页面,只有3到4个人在我的公司使用。在这个页面上,我有一个来自另一个域的框架,我需要父页面能够访问该框架内的值。
所以我的问题是,有没有办法(改变设置等),在火狐或IE7中,允许这种情况发生?最好(虽然不一定)任何设置的更改都是针对我的域的。
我在网上找到了一些帮助,说在FF中,你可以添加capability.policy来允许这一点。不过我没有任何运气,也许这在FF3中是不支持的。
浏览 2提问于2009-05-08得票数 2
1回答
问题是,我有一个文本框<input type="text" name="message" placeholder="message">,我想要的是避免css输入和脚本。因为当我键入效果时,文本会变成红色并保存到我的数据库中,当脚本被键入时,效果也是一样的。需要专业人士的帮助。谢谢。
浏览 1提问于2016-01-20得票数 1
回答已采纳
我们的网站最近被XSS跨站脚本攻击-类型1,我浏览了几个网站,他们建议我们进行HTML编码/转义/并扫描URL(使用过滤器)。
我们已经修复了URL跨站点脚本,方法是使用过滤器扫描URL,并在进入控制器(Servlet)之前清除URL。
至于信息,我们已经尝试了apache提供的名为"Mod_j安全“的方法,但我担心的是
如何结束HTML输出??在JBOSS或Apache中有没有在显示之前进行HTML编码的配置设置?
请在这方面给我建议,因为这是至关重要的,需要尽快解决。
浏览 1提问于2012-03-28得票数 0
我正在阅读“Web应用程序黑客手册”,它讨论了一阶XSS和二阶XSS之间的区别。它提到反射XSS如何利用查询字符串params的不完全或不存在的散列来执行任意脚本到用户的DOM中,而不将任何恶意代码持久化到应用程序的数据库,以及二阶XSS实际上如何持久化该恶意代码,并在稍后某个时候在用户的DOM中执行。
我的问题涉及到作者对二级XSS的定义(如果你手头有一份副本的话,请看第438页)。书中的说明指出:
针对存储的XSS漏洞的攻击通常至少涉及对应用程序的两个请求。首先,攻击者发布一些精心编制的数据,其中包含应用程序存储的恶意代码。在第二部分中,受害者查看包含攻击者数据的页面,在受害者的浏览器中
浏览 1提问于2017-06-05得票数 1
回答已采纳
1回答
从javascript下载文件
、、、、
我有一个.NET web应用程序,其中包含大量可下载的文档。我要将这些文件移到异地Azure存储。但是,给定一个特定文件的URL,我需要一种从客户端浏览器下载它的方法(当然是使用Javascript )。我正在寻找的行为是调用浏览器的“文件另存为”功能,允许用户将文件保存到他们的本地计算机。
我有以下不起作用的代码尝试。我使用脚本标记b/c,这是我可以绕过跨域脚本问题的唯一方法。但是,当使用Fiddler查看时,甚至从未尝试过该请求。据我所知,设置.src属性应该会调用下载。
var script = document.createElement('script');
scri
浏览 0提问于2013-05-18得票数 2
回答已采纳
2回答
我正在做一个关于网络安全的演示,并准备展示几个基本的跨站点脚本示例。
有趣的是,在使用Chrome处理这些示例时,我遇到了Chrome的XSS预防功能,它将检测是否正在执行请求中也存在的脚本;非常漂亮的特性。
由于我的示例故意回写以未转义格式提交的内容,所以我决定查看Chrome是否以相同的方式处理样式信息。在这种情况下,我能够提交结束标记和一个样式元素,它隐藏了文档的其余部分,并用我的内容重写了它。
我想知道的是:我所做的仍然是跨站点脚本,还是被称为其他东西?它仍然是一种将内容注入页面以改变布局的攻击,并且可能会做一些邪恶的事情,比如添加提交给攻击者站点的表单,但它没有显式地注入脚本。
我想
浏览 0提问于2012-03-11得票数 2
1回答
就是银行那边要求我们专线的服务器上插他们提供的U盾,请问如下方式的能否实现?使用VPN隧道或者专线内网互联(网络稳定)
需求解决方案:【银行U盾插在本地机房服务器口,RDP挂载到云服务器绑定实现方案?】
方案一:Windows 系统使用 RemoteFx 重定向 USB 设备:https://cloud.tencent.com/document/product/213/43017
方案二:Linux 系统使用 USB/IP 远程共享 USB 设备 https://cloud.tencent.com/document/product/213/43016
上述方案理论上可以,但未实践,有兴趣的同学
浏览 1511提问于2021-01-29
我想做一些看似非常简单的事情,但我发现没有一个选择是完全正确的(例如Dropbox)。
问题是:我可以使用什么云同步服务来将工作站上的文件夹与EC2实例中的文件系统同步?请注意这些要求:
它必须具有在EC2 init上发生的无人值守/可编写脚本的安装和配置(因为EC2实例是短暂的)
因此,它可能只依赖于任何服务安装凭据的EC2环境变量。
EC2上的服务需要只读的递归同步(不是简单的下载;有太多的文件可以简单地下载目录存档并定期展开)。
工作站和EC2都与Dropbox这样的共享源云存储库同步,因为该工作站并不总是在/公开访问
我的EC2实例上的应用程序是nodeJS,因为它的价值!
例如,Dr
浏览 0提问于2016-08-14得票数 3
2回答
现在用jquery (或reular javascript)实现跨域ajax最好的方法是什么?
我知道一种常见的解决方案是在我的“数据获取”域中使用一个“代理”php-file。但我不能在任何域上放置任何额外的文件,我应该只加载一个脚本,应该修改实际网站的页脚。
如何从另一个域的html文件(或类似文件)中获取数据?
浏览 0提问于2011-04-01得票数 2
我有一个PHP站点在PCI遵从性方面失败,唯一的错误是
Microsoft ASP.NET ValidateRequest筛选跨站点脚本漏洞
这是IIS上的PHP站点。我能做些什么让这个网站通过PCI测试。
浏览 1提问于2012-10-22得票数 0
我很难理解以下内容是基于DOM的XSS,还是反映XSS,并希望有人能帮助我区分两者之间的区别。
想象一下以下场景:
假设一个站点具有搜索功能,其中用户在GET请求中提供输入,例如www.testsiteexample.com?search=test;%20alert(1);
来自搜索输入的输入反映在JavaScript变量中: var searchResult = *userdata*
我想我已经回答了我自己的问题,因为用户的输入在javascript变量声明中被不透明地反映了--我猜这会被认为是反射XSS。但与此同时,OWASP所指出的基于DOM的XSS是:
攻击有效载荷是由于修改原始客户端
浏览 0提问于2016-07-01得票数 1
我想通过注册一个脚本来显示我的asp.net页面中的消息,有时甚至是错误的异常代码。我使用以下代码:
ScriptManager.RegisterStartupScript(this, Page.GetType(), "NoDept", "alert('Adjustments require the Total Amount to be ZERO to post!');", true);
如果我可以在开发过程中决定要显示的信息,这将非常有用,但如果我想要显示来自应用程序的数据,它可能包含无效文本,这当然会搞砸脚本,它不会显示。例如,消息中有‘in
浏览 0提问于2013-03-30得票数 3
回答已采纳
2回答
我想检查和验证我的C#/Asp.net应用程序中的安全威胁,并想知道是否有任何C#,asp.net安全库可以检查常见的攻击,如会话劫持,DoS,脚本注入等?
浏览 1提问于2012-01-03得票数 4
我正在致力于修复java.Since中的跨站点脚本问题--我是OWASP的新手,有人能帮我弄清楚如何在下面的情况下使用OWASP来净化输入。
Enumeration<String> EnumHeader = request.getHeaderNames();
Map<String, String[]> pMap = request.getParameterMap();
Object value = request.getHeader(key);
String[] refs = (req.getParameterValues(REFS_NAME));
浏览 4提问于2017-08-24得票数 1
回答已采纳
在表单字段中以"on“或任何以”on“开头的单词发布表单,导致此规则正文阻止来自aws waf的XSS阻止后,在解码为URL后包含跨站脚本威胁,例如,”aws“、”online“或"check on”XSS阻止中的所有结果 这些似乎是正常的单词,为什么它在xss上被阻止了? 但是在末尾有空格,它不会阻止,例如“20 only”、“online”或"check on“这些作品
浏览 33提问于2019-12-06得票数 3
回答已采纳
我有点困惑,也许有人能帮上忙。
1) Javascript ajax请求问题:我是否可以使用XMLHttpRequest直接向任何其他网站发出请求-而不是原始服务器?
2) JQuery ajax请求问题:我是否可以使用$.ajax直接向任何其他网站发出请求-不是始发服务器?
浏览网页时,我发现了一些关于如何由于XSS(跨站点脚本)而被禁止的东西,以及解决方法是使用服务器脚本语言和webservice...but,这对我来说并不重要。
如果有人能回答,请帮帮忙!
浏览 2提问于2011-05-04得票数 1
var mysql = require('mysql');
var connection = mysql.createConnection({
host : 'localhost',
user : 'meusername',
password : 'secret',
database : 'my_db'
});
connection.connect();
connection.query('SELECT 1 + 1 AS solution'
浏览 0提问于2018-03-14得票数 0
我想问一个问题,什么是防止跨框架脚本的最佳保护?
我已经将我的web服务器设置为将这些标志添加到HTTP报头中:
X-Same-Domain: 1
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
够了吗?还是有更多的保护措施可供使用?
我的web应用程序正在IIS上运行。
浏览 0提问于2015-09-15得票数 4
1回答
为了避免跨站点脚本攻击,我必须清理/验证来自RequestBody的java对象。我可以使用编码器(来自OWASP)来编码整个java对象吗?似乎编码器只对字符串进行编码,而不能接受对象。我有类似的问题,很多地方我应该处理这个问题。
有没有办法对整个对象进行消毒,以避免跨站点脚本问题?
浏览 0提问于2016-09-08得票数 0
如果攻击者的意图是在web应用程序的上下文中执行任意客户端脚本,那么XSS是否是唯一可能的攻击,而不是通过RCE或子资源供应链攻击损害服务器?
XSS是跨站点脚本--无论它是反射的、持久的还是基于DOM的。
子资源供应链攻击是指通过损害供应链(即:损害CDN、S3桶等)或通过通过非https通道加载的子资源而损害子资源(如CSS、javascript、flash对象等)的地方。
浏览 0提问于2020-01-02得票数 0
我制作了简单的tryItYourself类型codeEditor。进入文本区域,我编写代码。当单击按钮renderCode时,代码将在它旁边的div中呈现。但是,每当我在文本编辑器中使用<script>标记时,它都不会呈现标签中的任何内容。
这是密码。
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>Untitled Document</title>
<style>
#area {
width: 48%;
浏览 5提问于2015-08-13得票数 0
回答已采纳
我有一个带有文本编辑器的asp.net页面。我将html传递到服务器端。所以我开始收到错误,就像潜在的危险脚本。
所以我在谷歌上找到了一个解决方案
ValidateRequest=“false”
使用页面指令中的上述代码解决了错误,但我想知道使用ValidateRequest=“false”是否有任何缺点。
浏览 3提问于2014-10-17得票数 0
回答已采纳
我在我的MVC2站点中收到以下错误:未找到路径'/crossdomain.xml‘的控制器,或者该控制器未实现IController。
根据一些研究,该文件似乎与防伪和跨站点脚本(XSS)攻击有关。我的MVC2站点是否需要crossdomain.xml文件?
浏览 0提问于2011-03-14得票数 5
回答已采纳
在我的javascript函数中,我使用了location.href,如下所示,它工作得很好,但是当我使用加强工具时,它显示了跨站脚本which can result in the browser executing malicious code.如何保护它免受跨站脚本攻击。非常感谢,您的回答将非常感谢。
浏览 14提问于2014-08-22得票数 5
在背景页中:
var w = window.open(URL,'Example','width=675,height=350');
temp.page=setInterval(function(){
if (w.location.href!=URL) {
clearInterval(temp.page);
alert(w.location.href); //undefined
w.close();
}
},1000);
那么,为什么w.location.href是未定义的,为什么我不能访问w (w.document.write(&
浏览 0提问于2012-05-19得票数 0
回答已采纳
1回答
我有一个旧的遗留应用程序正在工作,我被指派修复它的安全漏洞。我们对其进行了应用评估扫描,显示了XSS漏洞。我能够减少大量的表单输入,方法是使用jsoup白名单对其进行消毒。纵观报告,我有几个领域可以将数值注入到一个长类型参数中。
以下是调查结果的信息:
对原始请求应用了以下更改:将'622";alert(240)'注入参数'name_id'的值
推理:测试结果似乎表明了一个漏洞,因为应用程序成功地在响应中嵌入了一个脚本,当页面在用户浏览器中加载时,脚本将被执行。
Request/Response: GET /applicationName/name.js
浏览 3提问于2014-11-04得票数 1
回答已采纳
2回答
脚本标签是不接受在wcs7管理中心的电子邮件活动内容,如何实现这一点?
我想在电子邮件中添加一个js文件。
为此,我正在使用标签
但是管理中心不接受脚本词
给错误如脚本是一个禁止字符。
浏览 4提问于2014-01-16得票数 1
回答已采纳
2回答
有一个旧的网络项目,我必须维护和做一些开发。我用加强工具对它进行了扫描,它发现了很多跨站脚本的缺陷。项目包含大量的jsps和servlet。由于jsp文件的数量太多,在每个字段中进行验证几乎是不可能的。在旧项目中防止xss的最简单方法是什么?
提前谢谢。
浏览 3提问于2011-10-05得票数 0
有一个web应用程序可以上传HTML文件,也可以下载上传的文件。
当我上传包含脚本标记的HTML文件并下载它时,响应如下。
HTTP/1.1 200
Date: Fri, 02 Jul 2021 01:11:11 GMT
Content-Type: text/html
Content-Length: 39
Connection: close
Server: nginx/1.14.2
Content-Disposition: attachment; filename="test.html"; filename*=UTF-8''test.html
X-Content
浏览 0提问于2021-07-02得票数 0
2回答
我在dynamics表单中添加了一个作为网络资源的页面。我已经在iframe之外开发了代码,它在IE (9+)和火狐中独立工作,直接导航到资源URL。(编辑)
回到测试在CRM中嵌入的代码,经过一天的独立开发和现在;当加载为CRM表单的一部分时,没有一个脚本运行。我通过在javascript加载的每个阶段添加小警报脚本(如下所示)对此进行了测试,现在这些脚本可以在所有浏览器中运行,可以追溯到IE5,但当加载到CRM表单的IFrame中时就不行了:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
浏览 2提问于2013-04-30得票数 0
回答已采纳
2回答
我熟悉持久化和非持久化。我也知道,它阻止/限制来自一个网站页面的请求转到另一个网站服务器。这使我认为同源策略至少可以阻止非持久类型的XSS攻击(因为在持久类型的攻击中,恶意代码来源与被盗的私有信息是相同的)。我的理解正确吗?是否可以使用SOP来阻止/减少这些攻击?
编辑:好的,我在浏览器端调用两个脚本之间的方法和在另一个网站上调用HTTP POST等方法之间存在混淆。谢谢你的回答,jakber。
现在我有另一个问题,SOP难道不能预防吗?wikipedia中给出的示例讨论了Bob访问由Mallory在聊天论坛上创建的恶意图像标记。但是,根据SOP规则,恶意脚本应该无法访问银行的cookie。我
浏览 1提问于2011-08-10得票数 8
回答已采纳
XSS的
定义如果您搜索web,有许多不同的方法来定义跨站点脚本攻击。简单地说,XSS漏洞发生在允许恶意攻击者将客户端脚本插入到其他成为攻击受害者的人查看的网站中时。
--AndroidO.S
中XSS错误的一个例子
恶意Android应用程序通过向Chrome发送精心编制的详细信息,可以将JavaScript: URI注入到加载在Chrome中的任意网页中。注入的JavaScript工作在目标网页的域的上下文中,而不是空白域。所以它可以用来偷饼干之类的东西。这类漏洞通常称为跨应用程序脚本。版本Chrome版本:ChromeforAndroidv18.0.1025123操作系统:在Androi
浏览 0提问于2015-05-22得票数 7
2回答
我有以下问题。我有一个表单,用户可以在其中输入一些数据。有各种各样的用户,所以碰巧用户输入了转义序列(例如,text \n text)。此条目正在插入到数据库中。但是,用户可以单击按钮打开一个弹出窗口,在该窗口中显示提交评论。除包含转义序列的窗口外,所有窗口均可正常运行,不能打开。这是一个经典的用java编写的asp脚本。有没有人遇到过类似的问题?也许charset是个问题?
浏览 2提问于2011-07-15得票数 0
1回答
在测试一个虚拟应用程序时,我注意到通过POST参数完成的XSS被存储在表单中(每当我加载注入有效载荷的页面时,警报(‘XSS’)都会显示)。是否可以通过POST请求获得反射XSS?
浏览 0提问于2019-10-13得票数 0
回答已采纳
我有一个页面,是由w3c验证。在开发人员菜单中,我有一个验证链接,如下所示:
<form action="http://validator.w3.org/check" method="post" style="display:inline">
<textarea name="fragment" cols='0' rows='0' style="display:none;">{$page_content}</textarea>
<a href=
浏览 1提问于2014-07-30得票数 0
1回答
我有一个关于劫持会话变量的问题。让我们假设我们有一个由Security支持的web应用程序,而我已经登陆了一个页面,其中存储了大量的会话变量,存储在服务器端。现在,会话变量通常不能完全从客户端访问。在保持当前会话变量不变的同时,客户端是否有任何方法使页面重新定向到另一个web应用程序(带有恶意服务器端脚本)?
我的印象是,这是不可能的,没有重大的缺陷,在原来的网络应用。
无论如何,问题是:在不对web应用程序的服务器端内容进行任何更改的情况下,是否可以窃取Security支持的web应用程序的会话变量?
编辑:使用TLS
浏览 3提问于2014-12-15得票数 0
回答已采纳
3回答
是否有任何服务,或测试套件或其他东西,我可以运行我的网站,并暴露任何主要的安全缺陷。我不希望我需要担心黑客,但我想消除容易被利用的安全风险。例如SQL注入、跨站脚本等。
浏览 0提问于2012-02-28得票数 1
回答已采纳
我正在构建一个简单的web应用程序。我没有能力使用SSL来保护与客户端的通信。
现在的流动是:
用户第一次注册时:
1)用户正在选择用户和密码(HTML表单)。
2)密码由散列函数和密钥(带有级联盐) (jQuery)进行散列。
3)散列结果被发送到服务器并存储在DB中。
任何登录名中的:
1)在欢迎页面中,密码被散列,结果被发送到服务器。
并与来自DB的哈希结果进行比较。2)如果密码正确,“将向客户端发送身份验证令牌,并将其存储在cookie中。
3)在每个页面中,令牌被发送到服务器并被验证。
**我的问题是:**
1)我对数据进行加密的方法是好的,还是缺乏(将其与SSL相比)?
2)如何防
浏览 3提问于2011-06-28得票数 0
我无法访问iframe,在本地主机中使用jQuery,或者如果在IE8-11中使用另一个域。
我使用脚本,它在其他浏览器上工作得很好,但是在IE8-11中,它必须在某个域或所有函数中提供py演示栏中断。
我已经尝试向iframe添加一个onload事件。(但这只有在iframe中的源来自同一域中时才能工作。)
我喜欢的另一个解决方案是堆栈溢出,将jQuery转换为JS。
如果有办法在IE上解决这个问题,我会很感激的。
浏览 0提问于2014-06-23得票数 0
回答已采纳
在页面的HTML正文中有以下内容:
<aside id="ADVERT">
<img src='https://www.blackstone.com/images/default-source/assets/logos/blackstone-logo.png'>
</aside>
在后面的页面中,有一个按钮,当单击该按钮时,将img与另一个按钮切换。以下是按钮代码:
<button onclick="switchadvert();">Switch Logo</bu
浏览 0提问于2018-11-09得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
