腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
尽管htmlspecialchars()在做它的工作,
XSS
攻击仍然有效。
、
、
嗨,我正在尝试
过滤
用户的输出,用户将免费文本,并希望防止
XSS
攻击,所以我尝试了这个功能,我做了检查。$patterns = [ "javascript:/*--></title><"<SCRIPT/
XS
浏览 7
提问于2022-05-01
得票数 1
回答已采纳
1
回答
如何使用javascript防止跨站点脚本编写
、
、
我想停止跨站点脚本在一个文本区域。下面作为输入数据的代码对于文本区域将是脆弱的:有人能在这方面帮助防止使用示例代码的跨站点脚本吗?
浏览 4
提问于2016-09-22
得票数 3
2
回答
我应该对Codeigniter中的post内容进行什么样的验证?
、
、
我启用了
XSS
过滤
和CSRF保护。我也在使用活动记录。 content字段允许使用HTML字符,但我不希望执行
JS
/PHP代码(
XSS
过滤
会阻止这种情况吗?)。
浏览 6
提问于2012-08-10
得票数 1
回答已采纳
1
回答
这个javascript易受基于dom的
XSS
的攻击吗?
、
、
我正在测试example.com,我找到了一个
js
反射点。如果我发送以下请求:在服务器响应中可以看到以下内容:window.meta = {"dToken
浏览 0
提问于2019-11-22
得票数 1
2
回答
建议为哪些内容类型设置
XSS
保护报头?
、
XSS
审核员在处理这些响应时是否关心这个标题的存在?
浏览 0
提问于2017-02-09
得票数 9
回答已采纳
2
回答
在node和express中使用表单的好方法
、
、
刚接触node
js
和express让我想知道完成任务的最好方法。在处理表单时是否有特定的约定?
浏览 3
提问于2012-10-05
得票数 0
回答已采纳
1
回答
小枝:允许HTML,但转义脚本
、
、
我正在为我的应用程序研究一个可能的
XSS
攻击矢量。 2) e滤波器: html风味输出:<b>Some valid HTML text</b> <script type="text/javascript">alert("
XSS
")<
浏览 4
提问于2015-06-14
得票数 2
回答已采纳
3
回答
当我用样式将span保存到MySQL时,样式将被删除
、
、
、
我使用TinyMCE作为我的PHP/CodeIgniter CMS后端输入。但是,当我使用文本颜色时,一些代码没有保存,也没有显示正确的颜色。提前谢谢。变成了在数据库中 在我的控制器里。{ .... '
浏览 5
提问于2012-03-18
得票数 1
回答已采纳
5
回答
如何在Laravel中应用
XSS
保护?
、
、
、
我想知道
XSS
是如何在Laravel中提供保护的。我在文件里找不到任何关于它的东西。我使用 create()方法将数据插入数据库(在模型中设置了$fillable/$guarded属性)。可能的解决方案如果我错了,处理这个问题的最佳方法是什么?
浏览 9
提问于2014-12-30
得票数 27
回答已采纳
1
回答
禁用特定变量的全局筛选
、
我在配置文件中将global_
xss
_filtering设置为TRUE。可以禁用特定数据的
xss
过滤
吗?假设我想禁用'title‘post变量的
xss
过滤
。 这样做有可能吗?
浏览 5
提问于2011-06-20
得票数 0
回答已采纳
4
回答
过滤
输入转义输出,还是转义输入
过滤
器输出?
、
,如果我不把逃避和
过滤
这两个词混为一谈的话,那应该是相反的。我们应该
过滤
输出,这样恶意代码(html、
js
等)就不会在浏览器上运行。这叫做
XSS
filtering,而不是
XSS
escaping。如果Filter input escape output语句是正确的,为什么它不是mysql_real_filter_string()并阻止
XSS
被调用为
XSS
escaping
过滤
不是防止安全漏洞,而是不将数据库填充
浏览 14
提问于2014-04-29
得票数 7
回答已采纳
1
回答
Angular 8 DomSanitizer白名单?
、
、
我正在使用的角度(8)在我的网页,并想显示几个iframe的作为innerHTML。 默认情况下,angular domsanitizer会删除危险元素。我知道我可以通过使用bypassSecurityTrustHtml函数和类似函数来禁用它。(https://angular.io/api/platform-browser/DomSanitizer) 由于内容将是用户生成的,但是,我不能简单地绕过Domsanitizer,因为它太危险了。然而,我想知道是否有可能允许某些已知的域,例如我自己的域。因此,我需要给消毒器一些带有安全域的白名单。到目前为止,谷歌没有返回任何有用的东西,所以我想知道:
浏览 30
提问于2020-01-15
得票数 1
回答已采纳
1
回答
XSS
漏洞定位器
、
、
、
我在上读到一篇关于
XSS
过滤
规避的文章。文章中描述的定位漏洞的方法之一是尝试注入以下内容:'';!--"<
XSS
>=&{()}那么,如果文档源中有标记,那么站点就容易受到
XSS
的攻击。为什么上面的代码片段绕过了一些
XSS
和转义
过滤
器?
浏览 1
提问于2016-12-10
得票数 1
2
回答
可能存在跨站点脚本(
XSS
)漏洞
、
、
我的网站没有搜索输入,但它有超链接到其他网站,如果我担心
XSS
(跨站点脚本)漏洞。
浏览 3
提问于2017-05-15
得票数 0
回答已采纳
4
回答
XSS
攻击和样式属性
、
、
、
有一些已知的样式属性
XSS
攻击,如:或所有的示例都使用表达式或url功能--基本上类似的功能需要"(“和")”。我正在考虑以下
过滤
样式标签的方法,我将使用以下(大致)语法检查它们: i
浏览 216
提问于2010-12-28
得票数 32
回答已采纳
1
回答
即使使用了web.xml中定义的ESAPI
XSS
过滤
器,Veracode扫描仍会标记
XSS
问题
、
、
、
、
使用ESAPI Refer ()创建了一个
XSS
过滤
器,并使用Veracode在web.xml.Scanned中定义了它。Veracode仍在标记与
XSS
问题相同的问题。Veracode是否不将使用Servlet
过滤
器作为解决代码中
XSS
问题的解决方案。
浏览 19
提问于2018-02-01
得票数 0
回答已采纳
2
回答
允许Javascript和CSS,但不允许
XSS
、
、
、
、
然而,当内容到达服务器(Java)时,我们希望
过滤
掉所有的
XSS
代码或潜在的恶意代码,比如document.cookie、eval等,不管它们是用字符串文本构建的CSS、内联
JS
、
XSS
(例如。我们研究了像HTML、jSoup这样的libs,但它们似乎不够聪明,无法区分潜在的恶意
JS
和安全的
JS
。我们想知道是否有办法做到这一点? 谢谢。
浏览 4
提问于2014-01-02
得票数 0
回答已采纳
2
回答
浏览器
XSS
过滤
器是否保护防止基于DOM的
XSS
?
、
、
许多(但不是所有)浏览器都内置
XSS
保护,可以使用HTTP报头激活这些保护:据我所知,它通过检查文档在加载时不包含任何可疑的查询字符串部分来防止反映
XSS
的攻击。是否有任何具有
XSS
过滤
器的浏览器也可以阻止基于DOM的
XSS
?例如,这样的
过滤
器将检查传递给.innerHTML的东西是否是来自查询字符串或任何其他用户输入的恶意反射,比如textbox。在SPA上启用
XSS
过滤</e
浏览 0
提问于2018-11-02
得票数 1
2
回答
NodeJs验证器函数未定义
、
我通过npm.I安装了验证器模块,我正在通过以下代码加载该模块: sanitize = require('validator').sanitize;data.message = sanitize(data.message).escape();
浏览 5
提问于2014-04-16
得票数 2
回答已采纳
3
回答
Codeigniter在数据库中存储html不起作用
、
、
、
我试过了:-htmlentities$config['global_
xss
_filtering
浏览 1
提问于2013-05-12
得票数 5
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
Microsoft Edge的XSS过滤器似乎已破坏
XSS跨站漏洞(一)
经验分享 Burpsuite插件的使用
什么是 XSS 攻击,XSS有几种类型?
XSS专题(一)
热门
标签
更多标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
活动推荐
运营活动
广告
关闭
领券