嗨,我正在尝试过滤用户的输出,用户将免费文本,并希望防止XSS攻击,所以我尝试了这个功能,我做了检查。$patterns = [ "javascript:/*--></title><"<SCRIPT/XS
浏览 7提问于2022-05-01得票数 1
回答已采纳
我想停止跨站点脚本在一个文本区域。下面作为输入数据的代码对于文本区域将是脆弱的:有人能在这方面帮助防止使用示例代码的跨站点脚本吗?
浏览 4提问于2016-09-22得票数 3
我启用了XSS过滤和CSRF保护。我也在使用活动记录。
content字段允许使用HTML字符,但我不希望执行JS/PHP代码(XSS过滤会阻止这种情况吗?)。
浏览 6提问于2012-08-10得票数 1
回答已采纳
我正在测试example.com,我找到了一个js反射点。如果我发送以下请求:在服务器响应中可以看到以下内容:window.meta = {"dToken
浏览 0提问于2019-11-22得票数 1
刚接触node js和express让我想知道完成任务的最好方法。在处理表单时是否有特定的约定?
浏览 3提问于2012-10-05得票数 0
回答已采纳
1回答
我正在为我的应用程序研究一个可能的XSS攻击矢量。
2) e滤波器:
html风味输出:<b>Some valid HTML text</b> <script type="text/javascript">alert("XSS")<
浏览 4提问于2015-06-14得票数 2
回答已采纳
我使用TinyMCE作为我的PHP/CodeIgniter CMS后端输入。但是,当我使用文本颜色时,一些代码没有保存,也没有显示正确的颜色。提前谢谢。变成了在数据库中
在我的控制器里。{ ....
'
浏览 5提问于2012-03-18得票数 1
回答已采纳
5回答
我想知道XSS是如何在Laravel中提供保护的。我在文件里找不到任何关于它的东西。我使用 create()方法将数据插入数据库(在模型中设置了$fillable/$guarded属性)。可能的解决方案如果我错了,处理这个问题的最佳方法是什么?
浏览 9提问于2014-12-30得票数 27
回答已采纳
1回答
我在配置文件中将global_xss_filtering设置为TRUE。可以禁用特定数据的xss过滤吗?假设我想禁用'title‘post变量的xss过滤。
这样做有可能吗?
浏览 5提问于2011-06-20得票数 0
回答已采纳
,如果我不把逃避和过滤这两个词混为一谈的话,那应该是相反的。我们应该过滤输出,这样恶意代码(html、js等)就不会在浏览器上运行。这叫做XSS filtering,而不是XSS escaping。如果Filter input escape output语句是正确的,为什么它不是mysql_real_filter_string()并阻止XSS被调用为XSS escaping
过滤不是防止安全漏洞,而是不将数据库填充
浏览 14提问于2014-04-29得票数 7
回答已采纳
我正在使用的角度(8)在我的网页,并想显示几个iframe的作为innerHTML。 默认情况下,angular domsanitizer会删除危险元素。我知道我可以通过使用bypassSecurityTrustHtml函数和类似函数来禁用它。(https://angular.io/api/platform-browser/DomSanitizer) 由于内容将是用户生成的,但是,我不能简单地绕过Domsanitizer,因为它太危险了。然而,我想知道是否有可能允许某些已知的域,例如我自己的域。因此,我需要给消毒器一些带有安全域的白名单。到目前为止,谷歌没有返回任何有用的东西,所以我想知道:
浏览 30提问于2020-01-15得票数 1
回答已采纳
1回答
XSS漏洞定位器
、、、
我在上读到一篇关于XSS过滤规避的文章。文章中描述的定位漏洞的方法之一是尝试注入以下内容:'';!--"<XSS>=&{()}那么,如果文档源中有标记,那么站点就容易受到XSS的攻击。为什么上面的代码片段绕过了一些XSS和转义过滤器?
浏览 1提问于2016-12-10得票数 1
4回答
XSS攻击和样式属性
、、、
有一些已知的样式属性XSS攻击,如:或所有的示例都使用表达式或url功能--基本上类似的功能需要"(“和")”。我正在考虑以下过滤样式标签的方法,我将使用以下(大致)语法检查它们:
i
浏览 216提问于2010-12-28得票数 32
回答已采纳
使用ESAPI Refer ()创建了一个XSS过滤器,并使用Veracode在web.xml.Scanned中定义了它。Veracode仍在标记与XSS问题相同的问题。Veracode是否不将使用Servlet过滤器作为解决代码中XSS问题的解决方案。
浏览 19提问于2018-02-01得票数 0
回答已采纳
2回答
然而,当内容到达服务器(Java)时,我们希望过滤掉所有的XSS代码或潜在的恶意代码,比如document.cookie、eval等,不管它们是用字符串文本构建的CSS、内联JS、XSS (例如。我们研究了像HTML、jSoup这样的libs,但它们似乎不够聪明,无法区分潜在的恶意JS和安全的JS。我们想知道是否有办法做到这一点?
谢谢。
浏览 4提问于2014-01-02得票数 0
回答已采纳
许多(但不是所有)浏览器都内置XSS保护,可以使用HTTP报头激活这些保护:据我所知,它通过检查文档在加载时不包含任何可疑的查询字符串部分来防止反映XSS的攻击。是否有任何具有XSS过滤器的浏览器也可以阻止基于DOM的XSS?例如,这样的过滤器将检查传递给.innerHTML的东西是否是来自查询字符串或任何其他用户输入的恶意反射,比如textbox。在SPA上启用XSS过滤</e
浏览 0提问于2018-11-02得票数 1
2回答
我通过npm.I安装了验证器模块,我正在通过以下代码加载该模块: sanitize = require('validator').sanitize;data.message = sanitize(data.message).escape();
浏览 5提问于2014-04-16得票数 2
回答已采纳
我试过了:-htmlentities$config['global_xss_filtering
浏览 1提问于2013-05-12得票数 5
回答已采纳
云服务器
ICP备案
即时通信 IM
对象存储
云直播
腾讯云开发者
