如果用户只查看自己的数据 - 是否存在XSS风险?
是的,存在 XSS 风险。如果用户只查看自己的数据,那么他们可能会尝试在查看的数据中插入恶意 JavaScript 代码,这可能会导致 XSS 攻击。因此,在查看数据时,应该使用安全的 HTML 编码,并启用内容安全策略(CSP),以限制恶意 JavaScript 代码的加载和执行。另外,应该对查看的数据进行严格的验证和过滤,以确保其符合预期的格式和范围,并避免使用易受 XSS 攻击的函数和组件。
相关·内容
如果我的站点只允许用户查看他们自己提交的数据,而不允许其他用户提交数据(例如,没有一般的“帖子”等)-那么我的站点上是否真的存在XSS风险?我仍将致力于XSS解决方案(如httmlspecialchars()等)--但我很好奇,攻击者是否可以通过查看他们自己
浏览 1提问于2012-04-22得票数 3
回答已采纳
我正在努力确保我的webforms ASP.NET应用程序尽可能安全,它接收用户输入的数据并将其存储到SQL数据库(通常的东西)中,只供登录的用户使用,因此对一般公众是不可用的。通过禁用输入页面的ValidateRequest,我意识到存在被XSS攻击的风险-所有的SQL查询都是参数化的,所以不会被SQL注入(对吗?)。我可以只
浏览 2提问于2013-05-16得票数 7
回答已采纳
2回答
在一个带有令牌系统的web应用程序上工作,我想知道是否允许用户访问查看自己的用户id,这是一种安全风险吗?这是不容易看到的,他们必须先散几个饼干。不仅仅是为了寻找特定于这个实现的答案,我只是对此很好奇。
对于我的具体情况,我将使用JSON令牌,这意味着客户机可以查看UID,但是由于JWT的性质,如果修改有效负载,令牌是无效的。在
浏览 0提问于2017-12-06得票数 5
我不是一个喜欢电脑的人,但出于好奇,我最近开始学习PHP来编写我自己的网站,我还读过一些web应用程序中存在的最常见的漏洞。我了解有关跨站点脚本漏洞的基本知识。因此,当用户的输入未被正确过滤并在页面正文中使用时,就会发生XSS攻击,因此攻击者可以将javascript/vbscript代码等内容注入浏览器,并在客户端执行类似劫持cookie并将其保存在数据库中的操作但是<
浏览 0提问于2014-02-21得票数 9
回答已采纳
1回答
我目前正在开发一个GWT 1.7.1应用程序,该应用程序处理大量持久的用户生成的数据,因此存在恶意XSS的风险。我正在采取的防止这种情况的步骤之一是使用服务器端(是的,我很清楚这不会像提到的和那样阻止所有可能的XSS攻击)。这种方法导致了客户端问题,因为GWT似乎正在执行自己的客户端转义(例如,服务器返回字符串“Alice&am
浏览 2提问于2009-10-27得票数 0
回答已采纳
在我看来,使用sessionStorage/localStorage技术在客户端存储数据显然存在一定的安全风险,这可能导致XSS攻击或在某些客户端上不能正常工作。我的目标是当用户向篮子中添加一个项目时,能够存储一个与项目相关的ID。我不会仅仅存储项目ID,而是存储任何价格数据或其他信息,然后在服务器端从会话存储中获取项目ID,它将从ID匹配的会话数据中进行交叉引用。虽然我觉得自己<
浏览 0提问于2020-03-21得票数 1
长话短说,我有一个web应用程序,其中包括,让用户(谁必须登录)创建,部署和接收来自在线表单的提交,使用JSON框架进行数据存储。在用户保存其新创建的表单时,将运行各种检查以防止SQL注入并捕获潜在的XSS漏洞。
但是,在创建实际表单时,输入到字段中的任何代码都会实时呈现在用户浏览器上。但是,如果用户尝试保存此表单,代码将被我现有的保护措施拆分,并在已部署的表单上停止运行。因此,唯
浏览 2提问于2020-04-29得票数 0
假设我只使用React编写了一个Let应用程序,而不是直接接触DOM。我从不使用dangerouslySetInnerHTML。我还需要担心XSS吗?换句话说,是否还有其他不安全的反应?如果我必须记住的唯一一件事是不使用以危险一词命名的属性,这将是非常好的,因为我必须记住保护自己免受XSS的伤害。但事情就这么简单吗?
在这里,我没有计算反应引擎本身的错误风险。我对
浏览 0提问于2018-08-27得票数 3
基于用户输入的XSS攻击向量依赖于成功提交<字符或其编码版本的能力。根据OWASP文档,我找不到任何攻击向量来绕过以某种方式注入<字符的需要。因此,如果输入过滤器检查并删除或替换用户提交的数据中<的所有实例,XSS的风险会减轻吗?
具体来说,我要问的是,对于不依赖于<字符的用户提交<em
浏览 3提问于2015-08-19得票数 1
回答已采纳
4回答
让用户用一组预定义的变量制作自己的Django模板,然后在服务器上呈现这个模板,这样安全吗?我只会向render传递一组非常有限的参数,所有这些参数都是字符串。所以,问题是,有没有什么django模板标签可以被滥用来获取用户不应该获得的信息?我最担心的是{% url %}标签。我在填写标题后注意到了,然而,我的问题略有不同。我可能根本不允许使用HTML/javascript,使用Textile/Markd
浏览 1提问于2010-02-23得票数 8
回答已采纳
4回答
允许用户css是否存在任何危险或安全风险?
对于不明确的问题,很抱歉。可能的实现:让用户输入自定义css的文本区,然后获取css并将其放入样式元素:带有js的<style type="text/css"></style>。
浏览 1提问于2010-08-01得票数 4
回答已采纳
在ReactJS中,如何能够呈现用户在textarea control中提交的回车返回。包含回车返回的内容是通过Ajax调用检索的,该调用调用需要将\r\n字符转换为<br>或其他什么的API。然后,我有一个应该呈现内容的div元素。",但是,它没有在浏览器中呈现回车,而是将br标记呈现为第一种情况下的纯文本,在第二种情况下将\n字符呈现为空格。
这里推荐的方法是什么?我猜我应该避开可怕的dangerous
浏览 4提问于2016-09-19得票数 2
回答已采纳
我已经阅读了很多资料,包括OAuth 2.0的RFC,以便使用此协议进行安全登录。我实现的流程是授权码授权,因为我有一个安全的网络核心后端来存储客户端机密。我以不同的方式思考,但我不知道如何以一种安全的方式实现它。如果我通过服务器将更新保存在浏览器的http安全cookie中,我很容易受到CSRF攻击,如果我将它保存在本地存储中,那就更糟了,因为我很容易受到XSS攻击,而且它可能会被窃取。简单地说,
浏览 37提问于2019-05-27得票数 0
2回答
在许多地方,它显示出严重的问题/违反:
String submissionNo = request.getParameter("SUBMISSIONNO");
有没有任何方法可以不使用JSTL来解决这个问题,或者JSTL是唯一的选择
浏览 7提问于2015-05-26得票数 0
2回答
JWT刷新和访问令牌
、、、
我在我的项目中使用jwt令牌。长寿命刷新令牌,用于对受保护资源的身份验证和短期访问令牌。刷新令牌保存在仅限http的cookie中,以降低xss攻击的风险。访问令牌将只存储在我的前端的vuex存储中。如果用户更改密码,我应该更新刷新令牌吗?我不将刷新令牌存储在数据库中,因为正如我所理解的那样,jwts的主要目的是我可以使用加密技
浏览 3提问于2021-10-29得票数 0
回答已采纳
3回答
在安全测试期间,我想知道在经过身份验证的XSS漏洞中,风险分类将是什么。我知道这取决于分类方案,所以这个问题的重点是“剩馀的风险是什么?”这会把(猜测)划分为低、中、高或关键。脆弱性:有不同的角色/用户组,但是站点<em
浏览 0提问于2017-03-23得票数 3
回答已采纳
我正在开发一个应用程序,如果我将字符串插入到带有textContent属性的div (空)中,则需要获得由div的innerHTML属性返回的值。这是为用户预览。显然,我可以做到这一点,但是我不能让任何脚本从解析的HTML字符串中运行。例如,如果字符串包含<img src="https://www.google.com/images/srpr/logo11w.png" onload="
浏览 1提问于2013-12-23得票数 0
1回答
最近,我从Dreamweaver转向了Netbeans,随着对干净代码的内置问责,我意识到我在编写正确/干净的代码方面还有一些工作要做。:在这个特殊的问题中,我试图使用短数量的代码。我知道我可以过滤/净化数组的每个元素,并将其赋值给一个变量,但是由于$_POST数组不是用户输入,所以我不太关心这个问题。
使用这个数组,我将把整个数组插入到一个数据库表中,减去最后一个元素
浏览 3提问于2017-04-28得票数 2
回答已采纳
我已尝试使用具有此CSS属性的数据URI:
background-image: url("data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAAA9JREFUeNpiYGBg8AUIMAAAUgBOUWVeTwAAAABJRU5ErkJggg然而,当我调试的时候,这个文件似乎在chrome中丢失了。如果我尝试导航到它,我得
浏览 1提问于2013-04-17得票数 3
回答已采纳
可以反映XSS (跨站点脚本)攻击发生在接受XML请求有效负载的REST上,提供XML响应。请求或响应中没有html内容。我已经看过一些关于XSS的文档,现在我认为这不适用于不提供html内容的REST,对吗?不过,我们正在对收到的请求进行验证,以检查输入中是否存在任何类型的标记(<>) &其他业务级别的验证很少。关于我们的服务,
我们的REST API不会接收或响应(partn
浏览 3提问于2021-02-10得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
