In the video below, at time marker 21:40, the Microsoft PDC presenter says it's important that all JSON be wrapped so it's not a top level array: https://channel9.msdn.com/Events/PDC/PDC09/FT12 What ...
Я пользовался Библиотекой AntiXss Microsoft, и задавался вопросом, существует ли серьезное основание, почему его метод JavaScriptEncode переносит результат в одинарные кавычки? То поведение кажется нетрадиционным.
Скажем, у меня есть домен, js.mydomain.com, и он указывает на некоторый IP-адрес, и некоторый другой домен, requests.mydomain.com, который указывает на другой IP-адрес. Может .js файл, загруженный с js....
Я попытался смотреть на сайт Microsoft и погуглить это, но ни у кого, кажется, нет ответа кроме <и>. Существует больше к нему, чем это все же. Я заметил что объект HTML...
Я работаю над реализацией веб-ошибки JavaScript, которая будет вставлена в веб-страницы нашего клиента. Одна из возможностей, которую хотели бы видеть наши клиенты, - это способ передачи фрагментов HTML на своих веб-страницах ...
С тех пор существует столько допустимых символов для адресов электронной почты, есть ли какие-либо действующие электронные адреса, которые могут в себе быть нападениями на XSS или Внедрениями SQL? Я не мог найти информацию об этом на...
Я использую Очиститель HTML для защиты моего приложения от нападений на XSS. В настоящее время я очищаю содержание от WYSIWYG-редакторов, потому что это - единственное место, где пользователям разрешают использовать разметку XHTML...
Можно ли использовать межсайтовый скриптинг в таблице стилей CSS? Например, справочная таблица стилей содержит вредоносный код,
Я знаю, что вы можете использовать теги стилей, но как насчет ...
Как Вы избегаете нападений сценария перекрестного сайта? Нападения сценария перекрестного сайта (или сценарии перекрестного сайта) состоят в том, если у Вас, например, есть гостевая книга на Вашей домашней странице, и клиент отправляет некоторый код JavaS
Моя цель состоит в том, чтобы взять HTML, вводимый конечным пользователем, удалить определенные небезопасные теги как <сценарий> и добавить его к документу. Кто-либо знает о хорошей библиотеке Javascript для очистки HTML? Я искал...
Другими словами, что наиболее используемые методы состоят в том, чтобы санировать вход и/или произвести в наше время? Что делает людей в промышленном (или даже просто персональное использование) использование веб-сайтов для борьбы с проблемой?
Я хочу, чтобы мое приложение санировало HTML на входе, а не демонстрирующийся, так, чтобы поля, сохраненные в базу данных, были санированы. Я делал это с strip_tags, и он работал отлично...
В примечаниях для Шага 1 в, "Как К: Предотвратите Сценарии перекрестного Сайта в ASP.NET", указано, что Вы не должны "полагаться на проверку запроса ASP.NET. Рассматривайте его как дополнительную предупредительную меру в...
Кто-либо знает, как Disqus работает? Это управляет комментариями к блогу, но комментарии все сохранены на стороннем сайте. Походит на аккуратное использование коммуникации перекрестного сайта.
Я изучаю некоторое предотвращение XSS в своем JAVA-приложении. У меня в настоящее время есть сделанные на заказ стандартные программы, которые выйдут из любого HTML, сохраненного в базе данных для безопасного дисплея в моем jsps. Однако я был бы...
Я спрашивал меня о безопасности использования функции php htmlentities () против нападений на XSS, и возможно связанных функций, таких как htmlspecialchars. большое спасибо :)
Хорошо, таким образом, я читал о скидке с цены здесь на ТАК и в другом месте и шаги между вводом данных пользователем и дб обычно даются, как преобразовывают скидку с цены в HTML, санируют HTML (w/whitelist), вставляют в...
В моем веб-приложении я позволяю пользователю сгенерированное содержание, которое будет отправлено для всеобщего использования подобный Stackoverflow. Какова лучшая практика для вручения этого? Мои текущие шаги для обработки пользователя...
Я пытаюсь сделать перекрестный запрос домена POST и врезался в стену (или два). Я не могу поместить страницу прокси на сервер - так, чтобы не была опция. Я исследовал getJSON, который работает отлично за исключением того, что...
Я использую Django Contact Form на веб-сайте, чтобы позволить посетителям посылать электронные письма. В настоящее время это выходит из символов, таким образом единственные и двойные кавычки преобразовываются в ' и "...
В шаблонах Freemarker мы можем использовать директиву Escape для автоматического применения выхода ко всем интерполяциям во включенном блоке: <#escape x как x? HTML> <# - имя оставляют как...
Это причудливо, я задавался вопросом, мог ли кто-либо пролить некоторый свет на то, почему это произошло. В основном я вытягивал волосы, пытаясь проверить JSONP, таким образом, я могу реализовать веб-сервис JSON это...
Я читал на Механизме исполнения безопасности Anti-XSS, и он похож на хорошее решение для веб-форм, потому что он осматривает средства управления через отражение и автоматически кодирует данные в соответствующих случаях...
Я смотрю на кодирование строк для предотвращения нападений на XSS. Прямо сейчас мы хотим использовать подход белого списка, где любые символы за пределами того белого списка будут закодированы. Прямо сейчас мы берем вещи...
Кто-либо знает, гарантируется ли Узел DOM текста типа не быть интерпретированным как HTML браузером? Больше деталей следует. Фон я создаю простую веб-систему комментария для друга, и...
Который я должен использовать? <входной тип = "скрытое" имя = "first_name" оценивают = "<% = % человека first_name>"/> или <входной тип = "скрытое" имя = "first_name" значение = "<%
У нас есть гибридное приложение webforms / asp.net, которое делает много частичных обновлений страниц из javascript, используя jquery. Типичный (небезопасный) шаблон в javascript нашего приложения заключается в ответ на ...