Вопросы с тегом «xss»

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?

1124 php  security  xss  sql-injection  user-input 

Как я могу предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP? Я видел множество других постов на эту тему, но я не нашел статьи, в которой бы четко и кратко говорилось, как на самом деле предотвратить XSS.

256 php  xss 

Так что я сейчас играю с HTTP для развлечения в telnet (то есть просто telnet google.com 80набираю и вставляю случайные GET и POST с разными заголовками и т. П.), Но я наткнулся на то, что google.com передает в своих заголовках, которые я не знаю Я просматривал http://www.w3.org/Protocols/rfc2616/rfc2616.html и не нашел …

194 http  http-headers  xss 

Ранее сегодня был задан вопрос о стратегиях проверки ввода в веб-приложениях . Главный ответ на момент написания предполагает PHPпросто использовать htmlspecialcharsи mysql_real_escape_string. Мой вопрос: всегда ли этого достаточно? Мы должны знать больше? Где ломаются эти функции?

116 php  security  xss  sql-injection 

Я прочитал это в руководстве по React. Что это значит? React безопасен. Мы не генерируем строки HTML, поэтому по умолчанию используется защита XSS. Как работают XSS-атаки, если React безопасен? Как достигается такая безопасность?

110 reactjs  security  xss 

Я хочу установить фоновое изображение DIV в шаблоне компонента в моем приложении Angular 2. Однако я продолжаю получать следующее предупреждение в моей консоли, и я не получаю желаемого эффекта ... Я не уверен, блокируется ли динамическое фоновое изображение CSS из-за ограничений безопасности в Angular2 или мой шаблон HTML не работает. …

108 typescript  angular  xss 

Как я могу установить файлы cookie в моем PHP appsкак HttpOnly cookies?

93 php  security  cookies  xss  httponly 

Похоже, что смысл window.postMessage заключается в том, чтобы обеспечить безопасную связь между окнами / фреймами, размещенными в разных доменах, но на самом деле это не позволяет этого в Chrome. Вот сценарий: Вставить <iframe> (с a srcв домене B * ) на страницу в домене A <iframe> оказывается в основном тегом …

89 javascript  html  google-chrome  xss 

Я прочитал учебник по виджетам DIY - Как встроить свой сайт на другой сайт для виджетов XSS от доктора Ника. Я ищу способ передать параметры в тег скрипта. Например, для выполнения следующей работы: <script src="http://path/to/widget.js?param_a=1&param_b=3"></script> Есть ли способ сделать это? Две интересные ссылки: Как встроить виджет Javascript, который зависит от …

89 javascript  parameters  widget  xss  script-tag