4
ответа
Каково различие между AntiXss. HtmlEncode и HttpUtility. HtmlEncode?
Я просто натыкался на вопрос с ответом, предлагающим, чтобы библиотека AntiXss избегала перекрестных сценариев сайта. Звучавший интересный, читая блог MSDN, это, кажется, просто обеспечивает HtmlEncode () метод...
вопрос задан: 6 September 2012 21:54
4
ответа
Почему был, проверяют запрос, вынутый из ASP.net MVC?
В стандартных приложениях ASP.net ASP.net, предлагаемый некоторую защиту от нападений на XSS с броском validateRequest, обнаруживает опасные входные ошибки, если кто-то пытался. Эта функциональность, кажется, имеет...
вопрос задан: 13 July 2012 09:13
4
ответа
Что делает хорошую тестовую строку для тестирования веб-форм для unicode совместимости?
Какой тестовый текст делают Вы пытаетесь ввести в свои веб-формы, чтобы проверить, что они обрабатывают все пограничные случаи правильно (особенно Unicode и проблемы стиля XSS). Я особенно интересуюсь хорошим Unicode...
вопрос задан: 25 June 2012 15:04
4
ответа
Запросы Ajax перекрестного сайта
Я должен выполнить запрос Ajax от веб-сайта до веб-сервиса REST, размещенного в другом домене. Хотя это, работает просто великолепно в Internet Explorer, другие браузеры, такие как Mozilla и Google Chrome...
вопрос задан: 14 August 2011 09:05
4
ответа
XSS как вектор атаки, даже если данные XSS, не хранившие?
У меня есть вопрос о XSS, формы могут использоваться в качестве вектора для XSS, даже если данные не хранятся в базе данных и используются позже? т.е. в php код был бы этим: <формируют вход = "текст"...
вопрос задан: 16 June 2010 09:54
4
ответа
выполните функцию JavaScript в другом iframe, когда родитель будет от другого домена
Страница A.com имеет 2 iframes B.com/page1 и B.com/page2. Это - код A.com: <HTML> <тело> <iframe src = "b.com/page1" называет = "iframe1" идентификатор = "iframe1"> <iframe src = "b....
вопрос задан: 13 June 2010 15:30
4
ответа
Лучшая практика: Пользователь генерировал очистку HTML
Я кодирую ширину WYSIWYG-редактора designMode = "на" на iframe. Редактор хорошо работает, и я храню код, как находится в базе данных. Перед выводом HTML я должен "убрать" с php на сервере-...
вопрос задан: 5 May 2010 14:33
4
ответа
Где я могу найти веб-проект “контрольным списком безопасности?” [закрылся]
Я ищу полный список инструкций по безопасности для программирования и развертывания веб-сайтов PHP и приложений на Apache (Linux) сервер. В основном, "список проверки защиты" для пробежки...
вопрос задан: 19 March 2010 08:03
4
ответа
Действительно ли безопасно отобразить ввод данных пользователем как входные значения без санитизации?
Скажите, что у нас есть форма, где пользователь вводит в различной информации. Мы проверяем информацию и находим, что что-то неправильно. Поле отсутствует, недопустимая электронная почта, и так далее. При отображении формы пользователю...
вопрос задан: 16 March 2010 13:56
4
ответа
Безопасность XSS. Коммуникация между 2 iframes от того же домена
Доменный abc.com имеет страницу с 2 iframes. Они оба загружаются из домена xyz.com. Безопасность XSS блокирует доступ JavaScript между теми двумя iframes?
вопрос задан: 2 February 2010 19:44
4
ответа
Санировать HTML прежде, чем сохранить в DB или перед рендерингом? (Библиотека AntiXSS в ASP.NET)
У меня есть редактор, который позволяет пользователям добавить HTML, который хранится в базе данных и представляется на веб-странице. Так как это - недоверяемый вход, я планирую использовать Microsoft. Безопасность. Приложение. AntiXsSS....
вопрос задан: 13 January 2010 22:53
4
ответа
Это действительное нападение XSS
Мое понимание нападений на XSS сосредоточилось на людях, входящих в злонамеренный вход через формы (постоянное нападение XSS). Однако я пытаюсь понять не постоянный. Это как пример (очевидно...
вопрос задан: 12 January 2010 09:51
4
ответа
Лучшая практика для HTML, выходящего из предоставленных пользователями данных с PHP (и ZF)
Примечание: Я использую Платформу Зенда, но я думаю, что большая часть из этого относится к PHP, кодирующему в целом. Я пытаюсь выбрать стратегию записи сценариев представлений, возможно с помощью механизма шаблонной обработки...
вопрос задан: 19 November 2009 15:56
4
ответа
Ruby on Rails и предотвращение XSS
Что методы должны предотвратить XSS в Ruby on Rails? Я нашел много старых документов о сети, и большую часть времени это было все об использовании h/html_escape помощник для выхода из любой переменной, которая прибывает от пользователей...
вопрос задан: 12 August 2009 14:40
4
ответа
Скидка с цены (с strip_tags) достаточна для остановки нападений на XSS?
Я работаю над веб-приложением, которое позволяет пользователям вводить краткие описания объектов в каталоге. Я позволяю Скидку с цены в своих текстовых областях, таким образом, пользователи могут сделать некоторое форматирование HTML. Моя текстовая санити
вопрос задан: 4 August 2009 09:01
4
ответа
Как я могу сделать внешний код 'безопасным' работать? Просто запретите оценку ()?
Я хотел бы смочь позволить членам сообщества предоставлять свой собственный код JavaScript для других для использования, потому что воображение пользователей коллективно намного больше, чем что-нибудь, о чем я мог думать. Но...
вопрос задан: 11 April 2009 10:42
4
ответа
Cookie могут быть скопированы между машинами для исполнения роли пользователя?
У нас есть приложение, которое среди прочего, проверяет существование cookie и читает и дешифрует содержание cookie. Хотя данные, хранившие в cookie, не уязвимы, это имеет...
вопрос задан: 14 January 2009 21:31
4
ответа
Утяжеленный тест XSS - это существует?
Я надеюсь писать дезинфицирующее средство HTML, и очевидно тестировать/доказывать это оно работает правильно, мне нужен ряд примеров XSS для подачи против него, чтобы видеть, как оно работает. Вот хороший пример от Кодирования...
вопрос задан: 2 November 2008 11:36
4
ответа
Строгая проверка HTML и просачивающийся PHP
Я ищу лучшие практики для выполнения строгого (белый список) проверка/фильтрация отправленного пользователями HTML. Основная цель состоит в том, чтобы отфильтровать XSS и подобный nasties, который может быть введен с помощью веб-форм...
вопрос задан: 14 October 2008 13:24
3
ответа
Разрешения для push-уведомлений
Попытка обойти несколько угловых случаев, когда push-уведомления в приложении отказано, и у меня есть два вопроса: 1) Есть ли способ сбросить, видел ли пользователь всплывающий запрос на уведомление ...
вопрос задан: 29 December 2015 10:50
3
ответа
Преобразователь/обертка JSONP онлайн
Я хотел бы выбрать источник файла и перенести его в JSONP. Например, я хочу получить pets.txt как текст от хоста, которым я не владею. Я хочу сделать это при помощи только клиентского...
вопрос задан: 30 June 2015 07:43
3
ответа
Запрет XSS с помощью strip_tags ()?
У меня есть веб-приложения на PHP. Я не хочу позволять пользователям публиковать HTML на моем сайте. Если я просто запусту strip_tags () для всех данных перед сохранением в своей базе данных, будет достаточно strip_tags (), чтобы предотвратить ...
вопрос задан: 23 September 2014 23:18
3
ответа
Escape HTML с помощью сервлета [дубликат]
Со ссылкой на: https://commons.apache.org/proper/commons-lang/javadocs/api-2.6/org/apache/commons/lang/StringEscapeUtils.html#escapeHtml(java.lang.String), я пытаясь избежать HTML-кода ...
вопрос задан: 18 June 2014 23:09
3
ответа
Лучшие практики Java для предотвращения перекрестных [закрытых] сценариев сайта
Я прошел лучшие десять уязвимостей OWASP и нашел, что Сценарии перекрестного Сайта являются тем, который мы должны сделать заметки. Было небольшое количество пути рекомендуемые решения. Каждый заявил, что не используют "...
вопрос задан: 5 March 2014 07:31
3
ответа
Как добавить javascript в URL-адрес действия в форме? [Дубликат]
У меня есть форма, которая имеет атрибут действия: action = "http://www.somewebsite.com/search?=value". Эта форма размещается на веб-сервере, уязвимом для атаки XSS (не беспокойтесь, что все локально. ..
вопрос задан: 10 January 2012 16:49
3
ответа
Каковы возможные векторы атак для отраженного межсайтового скриптинга?
Википедия предоставляет информацию об одном из наиболее распространенные сценарии для использования отраженной атаки межсайтового скриптинга - использование определенной степени социальной инженерии, чтобы побудить ничего не подозревающих пользователей к
вопрос задан: 20 August 2010 23:16
3
ответа
IE8 XSS / проблема JQuery
Все работает прекрасное в Firefox и Chrome, но кроме IE8 (8.0.6001.18702) Это - тестовый код (JQuery 1.4.2) (та же проблема с $ .post): $ (функция () {$ .get ("http://domain2.tld/some....
вопрос задан: 2 August 2010 06:39
3
ответа
Как я позволяю безопасно и недорого позволяю изображения на своем сайте?
Я разработал сайт социальной сети для веб-сайта садовников и интересуюсь предоставлением пользователям способности добавить изображения к их "твитам". Если я позволяю им загружать изображения на фактический сайт...
вопрос задан: 5 July 2010 13:30
3
ответа
Выход из вывода безопасно и для HTML и для полей ввода
В моем веб-приложении пользователи могут ввести текстовые данные. Эти данные можно показать другим пользователям, и исходный автор может также возвратиться и отредактировать их данные. Я ищу корректный способ безопасно выйти из этого...
вопрос задан: 30 June 2010 13:30
3
ответа
Выйдите/санируйте из ввода данных пользователем в Clojure/Compojure
Я использую стек Clojure/Ring/Compojure-0.4/Enlive для создания веб-приложения. Есть ли функции в этом стеке, который или разделил бы HTML или HTML - кодируют (т.е. <a> к < a>) пользователь-...
вопрос задан: 24 May 2010 14:20