2
ответа
What are “top level JSON arrays” and why are they a security risk?
In the video below, at time marker 21:40, the Microsoft PDC presenter says it's important that all JSON be wrapped so it's not a top level array: https://channel9.msdn.com/Events/PDC/PDC09/FT12 What ...
вопрос задан: 27 January 2017 14:02
2
ответа
Есть ли серьезное основание почему AntiXss. JavaScriptEncode переносит результат в одинарные кавычки?
Я пользовался Библиотекой AntiXss Microsoft, и задавался вопросом, существует ли серьезное основание, почему его метод JavaScriptEncode переносит результат в одинарные кавычки? То поведение кажется нетрадиционным.
вопрос задан: 16 June 2015 13:48
2
ответа
Как точно та-же-доменная-политика осуществляется?
Скажем, у меня есть домен, js.mydomain.com, и он указывает на некоторый IP-адрес, и некоторый другой домен, requests.mydomain.com, который указывает на другой IP-адрес. Может .js файл, загруженный с js....
вопрос задан: 2 June 2012 11:25
2
ответа
Как XSS работает?
Кто-то может объяснить, как XSS работает на простом английском языке? Возможно, с примером. Поиск с помощью Google не помог многому.
вопрос задан: 27 April 2012 13:00
2
ответа
Какие символы или символьные комбинации недопустимы, когда ValidateRequest имеет значение true?
Я попытался смотреть на сайт Microsoft и погуглить это, но ни у кого, кажется, нет ответа кроме <и>. Существует больше к нему, чем это все же. Я заметил что объект HTML...
вопрос задан: 21 February 2012 15:12
2
ответа
Безопасность JavaScript пазл с XSS
Я работаю над реализацией веб-ошибки JavaScript, которая будет вставлена в веб-страницы нашего клиента. Одна из возможностей, которую хотели бы видеть наши клиенты, - это способ передачи фрагментов HTML на своих веб-страницах ...
вопрос задан: 21 December 2011 17:34
2
ответа
Действующие электронные адреса - XSS и внедрение SQL
С тех пор существует столько допустимых символов для адресов электронной почты, есть ли какие-либо действующие электронные адреса, которые могут в себе быть нападениями на XSS или Внедрениями SQL? Я не мог найти информацию об этом на...
вопрос задан: 9 December 2011 17:49
2
ответа
Очиститель HTML - что очистить?
Я использую Очиститель HTML для защиты моего приложения от нападений на XSS. В настоящее время я очищаю содержание от WYSIWYG-редакторов, потому что это - единственное место, где пользователям разрешают использовать разметку XHTML...
вопрос задан: 1 September 2011 12:13
2
ответа
Межсайтовый скриптинг в таблицах стилей CSS
Можно ли использовать межсайтовый скриптинг в таблице стилей CSS? Например, справочная таблица стилей содержит вредоносный код,
Я знаю, что вы можете использовать теги стилей, но как насчет ...
вопрос задан: 31 August 2010 09:52
2
ответа
Как избежать “Нападений Сценария перекрестного Сайта”
Как Вы избегаете нападений сценария перекрестного сайта? Нападения сценария перекрестного сайта (или сценарии перекрестного сайта) состоят в том, если у Вас, например, есть гостевая книга на Вашей домашней странице, и клиент отправляет некоторый код JavaS
вопрос задан: 9 August 2010 11:56
2
ответа
Существует ли хорошая основанная на JavaScript доступная библиотека парсинга HTML?
Моя цель состоит в том, чтобы взять HTML, вводимый конечным пользователем, удалить определенные небезопасные теги как <сценарий> и добавить его к документу. Кто-либо знает о хорошей библиотеке Javascript для очистки HTML? Я искал...
вопрос задан: 4 July 2010 23:42
2
ответа
Какова общая защита против XSS? [закрытый]
Другими словами, что наиболее используемые методы состоят в том, чтобы санировать вход и/или произвести в наше время? Что делает людей в промышленном (или даже просто персональное использование) использование веб-сайтов для борьбы с проблемой?
вопрос задан: 28 June 2010 03:26
2
ответа
Ruby on Rails: Как лучше всего выйти из строки в модели?
Я хочу, чтобы мое приложение санировало HTML на входе, а не демонстрирующийся, так, чтобы поля, сохраненные в базу данных, были санированы. Я делал это с strip_tags, и он работал отлично...
вопрос задан: 21 May 2010 03:49
2
ответа
Почему ValidateRequest не = достаточно “верен” для предотвращения XSS?
В примечаниях для Шага 1 в, "Как К: Предотвратите Сценарии перекрестного Сайта в ASP.NET", указано, что Вы не должны "полагаться на проверку запроса ASP.NET. Рассматривайте его как дополнительную предупредительную меру в...
вопрос задан: 1 April 2010 09:24
2
ответа
Как Disqus работает?
Кто-либо знает, как Disqus работает? Это управляет комментариями к блогу, но комментарии все сохранены на стороннем сайте. Походит на аккуратное использование коммуникации перекрестного сайта.
вопрос задан: 10 March 2010 07:43
2
ответа
Выход Java 5 HTML Для Предотвращения XSS
Я изучаю некоторое предотвращение XSS в своем JAVA-приложении. У меня в настоящее время есть сделанные на заказ стандартные программы, которые выйдут из любого HTML, сохраненного в базе данных для безопасного дисплея в моем jsps. Однако я был бы...
вопрос задан: 25 February 2010 12:32
2
ответа
Заменяет: <и> с < и > достаточно предотвратить инъекцию XSS?
Я хочу знать, должен ли entiting две отметки <и> достаточно предотвратить инъекции XSS? И в противном случае почему? И каково лучшее решение?
вопрос задан: 22 January 2010 00:09
2
ответа
htmlentities () пуленепробиваем?
Я спрашивал меня о безопасности использования функции php htmlentities () против нападений на XSS, и возможно связанных функций, таких как htmlspecialchars. большое спасибо :)
вопрос задан: 11 December 2009 22:49
2
ответа
Скидка с цены и XSS
Хорошо, таким образом, я читал о скидке с цены здесь на ТАК и в другом месте и шаги между вводом данных пользователем и дб обычно даются, как преобразовывают скидку с цены в HTML, санируют HTML (w/whitelist), вставляют в...
вопрос задан: 6 November 2009 21:30
2
ответа
То, что лучший способ состоит в том, чтобы обработать пользователя, генерировало содержимое HTML, которое будет просматриваться общественностью?
В моем веб-приложении я позволяю пользователю сгенерированное содержание, которое будет отправлено для всеобщего использования подобный Stackoverflow. Какова лучшая практика для вручения этого? Мои текущие шаги для обработки пользователя...
вопрос задан: 22 October 2009 18:04
2
ответа
Синхронный перекрестный субдомен запрос POST с jQuery
Я пытаюсь сделать перекрестный запрос домена POST и врезался в стену (или два). Я не могу поместить страницу прокси на сервер - так, чтобы не была опция. Я исследовал getJSON, который работает отлично за исключением того, что...
вопрос задан: 16 October 2009 01:38
2
ответа
Мне нужно к символам ESC при отправке электронных писем?
Я использую Django Contact Form на веб-сайте, чтобы позволить посетителям посылать электронные письма. В настоящее время это выходит из символов, таким образом единственные и двойные кавычки преобразовываются в ' и "...
вопрос задан: 11 September 2009 18:01
2
ответа
Выход значения по умолчанию в Freemarker
В шаблонах Freemarker мы можем использовать директиву Escape для автоматического применения выхода ко всем интерполяциям во включенном блоке: <#escape x как x? HTML> <# - имя оставляют как...
вопрос задан: 12 August 2009 10:59
2
ответа
Обратный вызов JSONP не выполняется при выполнении в localhost
Это причудливо, я задавался вопросом, мог ли кто-либо пролить некоторый свет на то, почему это произошло. В основном я вытягивал волосы, пытаясь проверить JSONP, таким образом, я могу реализовать веб-сервис JSON это...
вопрос задан: 2 August 2009 02:31
2
ответа
Я должен использовать Механизм исполнения безопасности Anti-XSS в ASP.NET MVC?
Я читал на Механизме исполнения безопасности Anti-XSS, и он похож на хорошее решение для веб-форм, потому что он осматривает средства управления через отражение и автоматически кодирует данные в соответствующих случаях...
вопрос задан: 16 June 2009 20:16
2
ответа
Библиотека Python для фильтрации XSS? [закрытый]
Существует ли хорошая, активно сохраняемая библиотека Python, доступная для фильтрации злонамеренного входа, такого как XSS?
вопрос задан: 23 May 2009 11:29
2
ответа
Символы UTF-8, которые не являются уязвимостями XSS
Я смотрю на кодирование строк для предотвращения нападений на XSS. Прямо сейчас мы хотим использовать подход белого списка, где любые символы за пределами того белого списка будут закодированы. Прямо сейчас мы берем вещи...
вопрос задан: 30 April 2009 02:48
2
ответа
Текстовый Узел DOM, как гарантируют, не будет интерпретирован как HTML?
Кто-либо знает, гарантируется ли Узел DOM текста типа не быть интерпретированным как HTML браузером? Больше деталей следует. Фон я создаю простую веб-систему комментария для друга, и...
вопрос задан: 24 January 2009 22:47
2
ответа
Должен я HTML кодировать значения в поле ввода?
Который я должен использовать? <входной тип = "скрытое" имя = "first_name" оценивают = "<% = % человека first_name>"/> или <входной тип = "скрытое" имя = "first_name" значение = "<%
вопрос задан: 9 January 2009 15:36
1
ответ
Безопасные частичные обновления страницы в asp.net mvc?
У нас есть гибридное приложение webforms / asp.net, которое делает много частичных обновлений страниц из javascript, используя jquery. Типичный (небезопасный) шаблон в javascript нашего приложения заключается в ответ на ...
вопрос задан: 20 January 2019 17:21