防止输入类型受到XSS攻击
XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码到网页中,使得用户在浏览网页时执行这些恶意代码,从而达到攻击的目的。为了防止输入类型受到XSS攻击,可以采取以下措施:
- 输入验证和过滤:对用户输入的数据进行验证和过滤,确保输入符合预期的格式和类型。可以使用正则表达式、白名单过滤等方式来限制输入内容。
- 转义特殊字符:对用户输入的数据进行转义处理,将特殊字符转换为其对应的转义字符,从而防止恶意代码的执行。常见的转义方式包括HTML实体编码、URL编码等。
- 使用安全的编程语言和框架:选择使用安全性较高的编程语言和框架进行开发,这些语言和框架通常会提供内置的安全机制,帮助开发人员防止XSS攻击。
- 设置HTTP头部:通过设置HTTP头部中的Content-Security-Policy(CSP)字段,限制网页中可以执行的脚本内容,从而减少XSS攻击的风险。
- 使用安全的Cookie策略:在设置Cookie时,使用HttpOnly属性将Cookie标记为仅可通过HTTP协议访问,防止恶意脚本通过JavaScript访问Cookie信息。
- 定期更新和修补漏洞:及时关注和修补相关的安全漏洞,保持系统的安全性。
防止输入类型受到XSS攻击的措施可以结合使用,以提高系统的安全性。在腾讯云的产品中,可以使用Web应用防火墙(WAF)来防御XSS攻击,WAF可以对用户输入的数据进行检测和过滤,阻止恶意脚本的注入。腾讯云WAF产品的介绍和详细信息可以参考:腾讯云Web应用防火墙(WAF)。
相关·内容
1回答
我正在构建一个应用程序,它可以检索任何类型的用户输入,即使用户输入了xss注入代码。除此之外,我提供了一个管理视图,以显示用户放置的完整内容,无论是他们放置的html代码,bb代码,xss,javascript等(类似于分析目的)。
我认为htmlentities($data,ENT_QUOTES)就足够了,但在阅读了之后,它让我更加困惑。
我不想删除任何标签或脚本,我只想通过转义在html中显示它。如果我把它放在文本区域标签上会不会被保存?我的意思是,如果数据包含xss,如果在文本中是?
<textarea name="comment" rows="30"
浏览 0提问于2012-11-28得票数 0
2回答
由于document.cookie获得了当前的网页cookie,如果我将我的XSS有效负载放在一个网址缩短器网站中,它将无法工作,对吗?
我的意思是,它将得到的曲奇网址缩短网站,而不是目标。是这样的吗?
我的意思不是网址缩写是故意的,我是说它是使用短网址的副作用吗?
浏览 0提问于2019-08-03得票数 3
回答已采纳
1回答
我正在开发一个WordPress主题。为了保证XSS的安全性。在这里,我有两个问题:
如何检测主题是否会受到XSS攻击的影响?还是已经被感染了?
如何防止它感染XSS?
我知道这与WordPress有关,我应该把它放在WordPress上。我已经做了,但还没有解决方案。
浏览 2提问于2015-06-10得票数 2
我想停止跨站点脚本在一个文本区域。下面作为输入数据的代码对于文本区域将是脆弱的:
<script>alert("Hello")</script>
有人能在这方面帮助防止使用示例代码的跨站点脚本吗?
浏览 4提问于2016-09-22得票数 3
最近我遇到了一个网站,它生成一个随机的形容词,周围环绕着一个前缀和用户输入的后缀。例如,如果用户输入前缀为"123“,后缀为"789”,则可能会生成"123Productive789“。我一直在胡闹,我想我可以尝试一下。我将此输入前缀字段:
<a href="javascript:window.close();">Click</a><hr />
果然,我得到了链接,然后是一个<hr>,然后是一个随机形容词。我想知道的是,这会不会很危险?必须有更多的网站有这个问题,他们都容易受到某种形式的php注入吗?
浏览 0提问于2012-11-27得票数 0
回答已采纳
2回答
在浏览器中保存授权令牌
、、、、
我有一个REST,它在用户成功登录时返回一个auth令牌。这个令牌需要在不同的路线上发送以获得授权。我的android应用程序运行得很好。但我想使用这是我的网站,我不知道我应该如何存储在浏览器中的令牌安全。
浏览 0提问于2020-03-26得票数 0
我目前正在使用ReactJS构建一个单页面应用程序。
我读到不使用localStorage的原因之一是因为XSS漏洞。
由于React转义了所有用户输入,现在使用localStorage是否安全
浏览 167提问于2017-05-23得票数 237
回答已采纳
最近我发布了一个关于从XSS攻击中恢复网站的问题,https://stackoverflow.com/questions/20759081/how-to-recover-a-site-after-an-xss-attack.
在网上做更多的挖掘,我发现如果允许用户提供输入,或者换句话说,在站点中有任何类型的输入框(比如搜索框、联系我们表单、发布反馈等等),这个站点就很容易受到XSS的攻击。
我想知道的是:
假设一个站点没有输入框,它是否仍然容易受到XSS攻击,如果是,那么如何?
除了XSS之外,如果一个站点没有任何输入框供用户使用,它可能面临其他黑客攻击。
我知道,这是一个相当广泛的问题,我只
浏览 0提问于2013-12-26得票数 3
回答已采纳
可以反映XSS (跨站点脚本)攻击发生在接受XML请求有效负载的REST上,提供XML响应。请求或响应中没有html内容。
我已经看过一些关于XSS的文档,现在我认为这不适用于不提供html内容的REST,对吗?不过,我们正在对收到的请求进行验证,以检查输入中是否存在任何类型的标记(<>) &其他业务级别的验证很少。
关于我们的服务,
我们的REST API不会接收或响应(partners).The数据。我们不会直接从最终用户获得任何输入或请求(攻击者可能主要来自恶意终端用户),我们不会直接将XML响应发送到XSS概率最高的终端用户/ HTML呈现系统(浏览器)。我们接收请
浏览 3提问于2021-02-10得票数 3
回答已采纳
我正在努力解决我的反应性/凤凰应用程序中的CSRF漏洞,在我看来我的应用程序是安全的.但我并不是这些问题的专家,我想求助于社区,看看我是否忽略了一些东西,或者说我太天真了。
菲尼克斯是一个纯粹的API,独立于React运行,所以我要处理CORS -允许起源的白名单设置在router.ex中
pipeline :api do
plug CORSPlug, [origin: "localhost:3000"]
plug :accepts, ["json"]
plug Guardian.Plug.VerifyHeader, realm: "Bear
浏览 0提问于2018-02-01得票数 3
回答已采纳
我有一个应用程序,允许用户编辑电子邮件模板。电子邮件模板使用HTML,因此客户端向控制器发送HTML。我使用Jodit编辑器()作为消息体,这样用户就不必自己了解HTML了。我可以发布表单,并且控制器接受请求,因为视图模型是用适当的AllowHtml属性修饰的;实际上,ModelState.IsValid是真的。当数据返回给客户端时会发生错误;控制器不返回json对象,而是返回错误。
问题是,如何防止asp.net在返回时将其标记为危险?
注意,这个应用程序处理PII,所以不验证请求不是一个选项。
下面是错误(如果有人发现有帮助,请添加完整的错误):
“/ReallyAwesomeApp”应用
浏览 17提问于2020-07-08得票数 2
2回答
我正在ASP.NET MVC C#上开发一个C#应用程序,我很好奇使用存储过程/函数是否可以阻止SQL和xsxx攻击?我想对用户输入的数据进行某种消毒,但我不知道他们最好的方法是什么。
如果我需要进行一些数据清理,那么最好的方法是什么呢?
浏览 2提问于2016-06-15得票数 0
回答已采纳
1回答
跨站点脚本攻击XSS
、、、
我是网络开发的新手,我想问一个问题。
我知道跨站点脚本攻击XSS是危险的,当我们输出和显示用户信息在我们的网页,当我们设置cookie等。
但是,当我们有一个简单的网站,只接受与输入姓名,姓氏,信息,我们没有输出这个信息在网站任何地方,或者我们不使用cookie,是跨站点脚本攻击对我的网站危险。
我的意思是,我应该做些什么来防止xss攻击,因为我的img、meta标记或另一个html标记。提前谢谢你。
谢谢!
浏览 1提问于2016-01-14得票数 0
在一个网站(我们的一个)的页面上,我可以在url中输入以下代码:
javascript:createNewWindow('Something', 100, 100, 'Text')
有没有办法让人利用这一点?
function createNewWindow(url, widthIn, heightIn, title)
{
var strOptions='toolbar=0,location=0,directories=0,status=1,menubar=0,scrollbars=1,resizable=1,w
浏览 0提问于2008-10-22得票数 1
1回答
我试图将PHP变量调用到HTML输入字段中。请看下面的代码。
<html>
<?php
$A_variable = $_GET['some text'];
echo "<script type='text/javascript'>";
echo "document.getElementById('A_input').value = ";$A_variable;
echo "</script>";
?>
<input type="
浏览 0提问于2018-03-29得票数 0
回答已采纳
1回答
我在我的网站上默认使用csrf保护。网站上有一些表单,允许用户将数据发送到DB (如评论)。
正如你所知道的- csrf保护足以防止攻击和注射?
浏览 3提问于2016-01-15得票数 0
回答已采纳
据我所知,我需要在报头服务器端禁用X- XSS -Protection,以防止XSS通过GET请求发生。
例如,用户浏览到
http://mysite.com/index.php?page=<script type='text/javascript'> alert("XSS"); </script>
假设$_GET' page‘被从PHP回显到页面,而没有以任何方式被更改,XSS Auditor应该捕捉到被回显到页面的请求中有一些东西,并停止它。
这是否足以防止XSS攻击,或者攻击者是否可以绕过此浏览器保护?
这意味着它被所有主流
浏览 4提问于2013-07-23得票数 1
1回答
我已经在移动应用程序上与JWT合作过,但我将首次在一个网站上实现它,以便进行身份验证,而且我还有一点还不明白:
如果我在localStorage中使用JWT令牌,XSS攻击是可能的。
如果我在cookie中使用JWT令牌,那么CRSF攻击是可能的。
但是,如果我在HTTPS上使用JWT令牌和httpOnly+secure cookie,并且令牌生存期为1个月,那么在这种情况下,CSRF攻击仍然可能吗?
我在web上看到了使用cookie的自定义令牌,或者使用localStorage或JWT的自定义令牌,但是我没有明确地得到httpOnly+secure cookie + JWT
浏览 3提问于2016-02-10得票数 16
回答已采纳
当我在文本区域中输入'<test>'时,我得到了这个错误,所以我认为是'<'和'>'字符引起的。
当我在寻找修复它的方法时,我发现绝大多数人都建议将它添加到web.config中:
<httpRuntime requestValidationMode="2.0"/>
或者将这个添加到我的操作中:
[ValidateInput(false)]
但我担心这样做会让我面临sql注入之类的恶意输入,所以我想知道解决这个问题的更安全的方法是什么。
PS:我使用的是textareafor (虽然我不确定有什
浏览 1提问于2013-11-20得票数 1
我正在测试的应用程序中存在一个反射XSS缺陷。最初,有效负载作为JSON键的值在POST请求中发送,响应也是JSON对象。客户端Javascript直接使用JSON对象中的返回值,从而造成漏洞。我的问题是,我尝试了通过此页表单发送JSON有效负载的所有方法,但是我失败了,因为服务器正在正确地验证输入。有没有任何方法可以利用这个XSS漏洞?而且,相同URL上的GET方法也不起作用。
浏览 0提问于2016-06-16得票数 5
假设您从用户输入中获取一个字符串,并将其存储到数据库中。稍后检索该字符串,并用该字符串填充新表单输入的值。在不进行任何清理的情况下,是否存在任何XSS危险?如果是,最好的方法是将对原始输入的干扰降至最低。 $str = $_POST['string'];
// INSERT $str INTO MYSQL
// LATER
$string = // database fetched string
<input type="text" name="data" value="<?= $string ?>" /&g
浏览 11提问于2021-01-28得票数 1
回答已采纳
1回答
我一直在研究令牌身份验证以及XSRF和XSS攻击获取身份验证信息的可能性。
我知道,为了防止XSRF攻击,一种流行的方法是从cookie中读取自定义身份验证令牌,然后在发出任何AJAX请求之前将其添加到自定义请求头。然后,服务器可以对请求标头而不是cookie运行验证。我相信AngularJS使用这种方法:$http
在防止XSS攻击时,我感到困惑。显然,最好确保没有用户输入能够注入javascript,但是假设发现了一个缺陷,因为需要读取上面提到的cookie才能在请求标头中设置它的值,它不容易受到XSS攻击吗?由于cookie不能设置为仅HTTP,所以攻击者可以不读取cookie来获取身份
浏览 1提问于2014-10-09得票数 2
我有一个小脚本,它允许用户在数据库中保存文本。为此,我使用了准备好的语句来防止任何SQL注入。->用户保存某物的部分。在数据库里是安全的。
现在我想输出用户的文本,我这样做:
echo'Text: '.trim (htmlspecialchars ($text)).'';
这个方法安全吗?有没有更好的解决办法?我是否应该避免将所有这些特殊字符插入DB中?
浏览 0提问于2015-07-28得票数 0
回答已采纳
我有几个地方可以将用户输入显示给其他用户。
输入框。
<p>标记之间的输入框中的值。
<a>标记之间的输入框中的值。
这很像是用户在显示名称中输入的表单,然后在下一页上您会看到两个位置,名称显示在两个标记之间。某些用户可以返回并编辑此文本框。
如果用户输入“hello world”,下一个用户将看到预先弹出的文本框“hello world”,以及<a href="#">hello world</a> <p>hello world</p>
我对JavaScript或JavaScript安全性不是很熟悉。这在某
浏览 2提问于2013-02-28得票数 1
回答已采纳
我正在努力确保我的webforms ASP.NET应用程序尽可能安全,它接收用户输入的数据并将其存储到SQL数据库(通常的东西)中,只供登录的用户使用,因此对一般公众是不可用的。
通过禁用输入页面的ValidateRequest,我意识到存在被XSS攻击的风险-所有的SQL查询都是参数化的,所以不会被SQL注入(对吗?)。
我可以只对输入文本使用HTMLencode而不是使用Anti-XSS库吗?然后我要存储HTMLencoded字符串吗?
还是我看错了?我是否应该逐字存储用户输入,然后在将其输出到浏览器时随时存储HTMLencode或XSS-HTMLencode?
浏览 2提问于2013-05-16得票数 7
回答已采纳
2回答
https://codepen.io/AnonymousCaptain/pen/eYZZOyO 我做了这个,但我需要我的"{{data.body}}“被解释为超文本标记语言。 我完全是一个新手,我希望外面的人能帮助我。 到目前为止,我已经把头撞到了数字墙上,看着名为v-html的指令……但我不确定这是不是我该用的。 我也看到人们这样做: Vue.component("app",{模板:HTML https://www.digitalocean.com/community/tutorials/vuejs-raw-html-binding这可能就是我需要的? 请给我指出一
浏览 60提问于2020-08-17得票数 1
回答已采纳
当我在文本框中输入一个像"“这样的值时,它会抛出下面的错误。
有人告诉我使用Server.HTMLencode/Server.HTMLdcode。但是我不知道如何在textbox中使用它。请帮帮我。
浏览 11提问于2012-08-28得票数 0
回答已采纳
2回答
是否有一种方法可以通过Javascript自动格式化输入框,在用户尝试单击submit按钮之前阻止XSS?
例如,在用户在文本框上输入脚本攻击后,javascript自动将文本框内的值格式化为安全格式。
顺便说一句,我不只是依靠这个过程来防止XSS,只是我们的客户群有一些短语可以触发ASP.Net将其视为XSS。下面是一个确切的例子:
短语:OMY G<W TUBE/OVARY将触发页面,将其视为XSS,而OMY G< W TUBE/OVARY不被视为潜在的风险。
浏览 4提问于2010-07-14得票数 1
回答已采纳
我已经将应用程序从Asp.Net 3.5升级到Asp.Net 4.5。我见过许多关于使用AntiXSS库的优点的帖子。到目前为止,我还没有看到任何关于如何使用它的信息。
建议在web.config中这样启用它:
<httpRuntime ...
encoderType="System.Web.Security.AntiXss.AntiXssEncoder, System.Web,
Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
我想知道在web.c
浏览 1提问于2016-11-28得票数 1
3回答
站点的本地存储值可以被xss覆盖(跨站点脚本)吗?据我在chrome和firefox中验证,一个站点的localstorage值不能被其他站点访问。谁能告诉我本地存储值是否可以通过xss从浏览器中的不同域进行读/写?
浏览 0提问于2012-12-18得票数 6
2回答
输入验证的使用之一是防止XSS。如果需要为验证输入的函数定义最佳实践,那么一些(我称之为质量标准)是检查预期类型、检查预期长度、检查预期范围等等.
XML炸弹通常利用XML解析器处理XML或XML。因此,我想知道是否有人能帮助我定义一些“质量”标准来检查XML模式是否易受攻击,例如XML炸弹.与我提到的输入验证方式相似。
在创建XML方面有什么最佳实践,例如,为了避免无休止的循环,或者.
如果已经有一些XML安全验证工具或API作为针对XSS的输入验证工具.,我也感兴趣。
浏览 0提问于2011-01-20得票数 -1
回答已采纳
2回答
我只是试着在xss上锻炼,我希望在echo上弹出警报框,这应该可以在echo上工作。我正在做基于概念的练习,而且我错误地使用了htmlspecialchars,这很容易受到xss的攻击。然而,这并不是真正的工作,我也不明白为什么。这是我的密码
$name=htmlspecialchars($_GET['myname']);
echo "<HTML><body>";
echo '<form action="">';
echo "name: <input type=
浏览 3提问于2017-04-24得票数 0
1回答
此网站中的用户使用具有自定义设置的构建JavaScript对象的工具。
每次他们更改输入元素中的某些内容时,我都希望使用自己的设置执行这个javascript代码,并显示一个预览。
因此,我放置了一个iframe,发送一个设置在url中的请求。
<iframe src="settings.php?javascript=...></iframe>
每次他们改变什么东西,iframe就会被重新装载。
我的PHP代码?
<?php
$javascript = "";
/**/
if(empty($_GET["javascript&#
浏览 1提问于2016-01-10得票数 2
回答已采纳
在将数据插入db之前从表单的输入中获取数据时,是否必须使用像mysqli_real_escape_string()这样的转义函数来使用Zend_Form,还是zend为我自动转义的数据?
浏览 1提问于2014-06-02得票数 1
回答已采纳
我的URL如下所示:
http://example.com/value=S%0a%0d"><'script>alert(0)<'/script'>%20"
当我在Servlet中打印value请求参数的值时,使用以下代码:
String Value=request.getParameter("value");
System.out.print("URL :"+Value);
产出如下:
URL :S
"><'script>alert(0)<'
浏览 4提问于2015-02-16得票数 1
2回答
有人能解释一下为什么DotNetNuke会被配置为请求验证和事件验证禁用吗?对于默认安装,它们都处于web.config级别,这似乎是一种倒退的方法。这有什么合理的原因吗?如果重新打开,对DotNetNuke的功能有什么影响?
显然,应该在代码中进行适当的输入验证,但是本机.NET框架的行为总是一个不错的后盾。
更新:在中对此的进一步思考
浏览 8提问于2010-02-25得票数 5
回答已采纳
我想从JavaScript代码中访问PHP变量中的数据。一张(旧的) OWASP备忘单建议在访问它之前将其嵌入到HTML中,这样的方法如下:
<%= html_encode(data.to_json) %>
几个 SE 答案引用该备忘单,但建议将script元素与type="application/json"一起使用:
<?php echo htmlspecialchars(json_encode($untrustedData)); ?>
但在这种情况下,htmlspecialchars甚至是必要的吗?根据MDN的说法,这是一个“不会被浏览器处
浏览 0提问于2022-04-20得票数 2
2回答
我正在开发一个nodejs服务器,它将与客户端移动应用程序交互。我在服务器上遇到了一些称为XSS和XHR的攻击。我遇到了一个名为node-validator的模块,它对处理和验证输入很有用。我需要一个想法,如果XSS和XHR攻击有相同的效果,如果该模块对both.Any有用,关于这一点的想法将非常有帮助。
浏览 2提问于2013-03-08得票数 0
当我将用户输入数据插入到mysql数据库中时,我使用mysql_real_escape_string。输入数据包含bbcode,例如[img][/img]。
下面是输出html的时间行。
$information = $this->bbcode(stripslashes($this->swearfilter($row['information'])),1);
echo $information;
关于这个例子,这是防止XSS攻击的正确方法,还是我应该使用htmlspecialchars($var,ENT_QUOTES)或htmlentities
浏览 0提问于2012-06-29得票数 0
回答已采纳
2回答
安全的XSS清洁功能(定期更新)
、、、、
我已经在网上搜索了几天,试图弄清楚这一点,但得到了相互矛盾的答案。
是否有一个库、类或函数可以安全地清除/编码针对XSS的字符串?它需要定期更新以应对新的攻击。
我有几个用例:
用例1) --我有一个纯文本字段,比如名或姓
用户在字段中输入文本并提交表单。
在将其保存到数据库之前,我想要a)修剪字符串前端和结尾的任何空格,b)从输入中删除所有的标记。这是一个名称文本字段,它们不应该包含任何HTML。
然后我将用PDO准备的语句将其保存到数据库中。
我想我只需要做trim()和strip_tags(),然后使用带有字符白名单的或RegEx。他们真的需要这样的角色吗?然后呢?或
浏览 1提问于2011-06-17得票数 15
回答已采纳
我正在读CSP的文章,我在一个已经实现的站点上做了一些测试,我发现了一个xss漏洞,尽管它使用的是CSP。
浏览 0提问于2019-10-22得票数 -1
这不是一个特定于语言的问题,但我使用的是PHP5。
我正在做一个有一定数量的PII的项目。在法律上,我们被要求保护这些数据免受黑客攻击,因此我一直在研究保护常见攻击类型的最佳实践。显然,所有数据库调用都使用参数化查询,用户提供的所有数据都经过净化以防止注入。我还实施了会话和方法,以防止会话劫持。
当涉及到抵御XSS对表单的攻击时,最佳实践似乎是包含一个带有表单令牌的隐藏输入,然后在post之后检查令牌匹配。还有更多的方法来使这更安全。
我曾设想过一种攻击,但没有找到解决办法。如果恶意站点加载一个指向我的站点的隐藏的iframe (例如,view-ember.php?id=1234),并且由于受
浏览 1提问于2017-02-28得票数 0
回答已采纳
2回答
注意:我在其他地方处理SQL注入和输出转义--这个问题只涉及输入过滤,谢谢。
我正在重构我的用户输入过滤函数。在使用将GET/POST参数传递给特定于类型的过滤器之前,我执行以下操作:
用检查参数编码
如果不是ASCII或UTF-8,则转换为带有的UTF-8 (有//忽略)
使用清除空白
通过传递结果-根本不允许标记,只允许标记
现在的问题是:将参数传递给像或这样的过滤器仍然有意义吗?还是我认为输入是安全的?在我看来,这两者在允许的HTML元素和属性的粒度(我不感兴趣,因为我删除了所有内容)上有很大的不同,但是htmLawed文档中有一个关于'‘的部分,这说明可
浏览 3提问于2010-02-21得票数 5
回答已采纳
1回答
我正在编写一个Rails应用程序,它支持使用ActiveStorage上传图像。我正在编写一个系统测试,它运行在Firefox中。Firefox是由Selenium通过网络驱动的;最终它被安装在一个码头容器中。
我可以编写一个运行并通过的系统测试。我使用的docker映像支持通过OpenVNC交互式地查看测试--如果您在浏览器中导航到,您可以查看测试运行并与宿主系统浏览器中的测试浏览器交互。
我编写的测试会上传一个文件,并通过进入其专用的“显示”页面来检查该文件是否被上传。页面加载,并呈现一个图像标记,如
<img src="http://web:37193/rails/acti
浏览 9提问于2022-06-11得票数 0
我一直在调查OWASP预防CSRF攻击的建议( )。
现在,我不明白的是,这将如何防止攻击,这是一个XSS和CSRF攻击的组合。假设我们有以下攻击场景:
攻击者能够执行存储的XSS攻击,因此每次用户访问该页面时都会执行攻击者在网站上插入的脚本。
这个脚本将完全重新设计DOM,例如,攻击者的脚本将重新设计DOM,而不是原来的表单,用户需要提供一些不相关的信息,以便将该表单重新设计为添加具有管理权限的用户的表单。注意,用户不会看到这一点,因为字段的标签将保持不变。只有这个职位会有所不同。
攻击者知道该网站使用反CSRF令牌。查看OWASP建议:‘(..)应用程序应该包含一个具有公共名
浏览 2提问于2013-09-23得票数 0
回答已采纳
嗨,我正在尝试过滤用户的输出,用户将免费文本,并希望防止XSS攻击,所以我尝试了这个功能,我做了检查。
<?php
$patterns = [
"<SCRIPT SRC=http://xss.rocks/xss.js></SCRIPT>",
"javascript:/*--></title></style></textarea></script></xmp><svg/onload='+/\"/+/onmouseover=1/+/[*/[]
浏览 7提问于2022-05-01得票数 1
回答已采纳
1回答
我有一个旧的遗留应用程序正在工作,我被指派修复它的安全漏洞。我们对其进行了应用评估扫描,显示了XSS漏洞。我能够减少大量的表单输入,方法是使用jsoup白名单对其进行消毒。纵观报告,我有几个领域可以将数值注入到一个长类型参数中。
以下是调查结果的信息:
对原始请求应用了以下更改:将'622";alert(240)'注入参数'name_id'的值
推理:测试结果似乎表明了一个漏洞,因为应用程序成功地在响应中嵌入了一个脚本,当页面在用户浏览器中加载时,脚本将被执行。
Request/Response: GET /applicationName/name.js
浏览 3提问于2014-11-04得票数 1
回答已采纳
3回答
防止XSS漏洞的最佳实践是什么?
这里有很多人提到了白名单,这听起来是个好主意,但我看到很多人用RegEx来定义白名单。这似乎本身就有缺陷,因为它取决于许多因素,其中最不重要的是RegEx实现和编写表达式的人不犯错误的技巧。因此,许多XSS攻击之所以成功,是因为它们使用了。
避免这些漏洞/净化用户输入的最佳方法是什么(尽管可能比regex白名单更劳动密集)?从理论上讲,是否有可能对用户输入进行完全消毒?
浏览 4提问于2009-09-18得票数 3
回答已采纳
2回答
我需要加载一个用户给定的URL,并在用户给定的网站内容之后显示带有我内容的div。
实现这一点将是微不足道的:
$c = file_get_contents($url);
echo $c . $myDivCode;
但是,这不会使我的服务器面临各种安全问题,比如XSS吗?
如果是这样的话,考虑到我希望能够尽可能地显示用户给定URL的内容(即运行所有安全脚本),处理这个问题的最佳方法是什么。
浏览 2提问于2014-09-02得票数 0
回答已采纳
我将要构建我的第一个移动web应用程序,我发现Android2.3的浏览器并没有实现httponly。
有什么技术可以缓解这个问题?这是一个失败的事业吗?
浏览 1提问于2012-03-07得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
