я просто создаю форму регистрации, и я смотрю только для вставки действительных и безопасных электронных писем в базу данных. Несколько сайтов (включая w3schools) рекомендуют выполнить FILTER_SANITIZE_EMAIL прежде...
Я пытаюсь создать приложение MVC, и мне сказали, что это не лучший способ получить данные и восприимчив к межсайтовому скриптингу. Я никогда не делал безопасности и пытался учиться как ...
У меня есть веб-приложение, построенное на JSF с MySQL как БД. Я уже реализовал код для предотвращения CSRF в моем приложении. Теперь, поскольку моей базовой структурой является JSF, я думаю, мне не нужно обрабатывать ...
У меня есть многослойная форма, записанная в Классике ASP, который основан на коде ниже. Я использую хранимые процедуры и параметры для записи в sql DB, я использую Сервер. HTMLEncode, прежде чем это будет отправлено также. Я...
Я попытался открыть свой репозиторий сегодня, и у него не было истории фиксации. Все, что я пробовал (git status, git log, git checkout ...), выдавало ошибку о поврежденном объекте. Я исследовал эту проблему ...
Ответы JSON могут быть использованы путем переопределения Конструкторов Array или если враждебными значениями не является оставленный из строки JavaScript. Давайте предположим, что оба из тех векторов обращены нормальным способом. Google...
У меня есть маленькое приложение Sinatra, которое генерирует фрагменты HTML для меня из шаблона ERB. Как делают меня html_escape вывод? <% =h somestring %> помощник не существует в Sinatra.
По умолчанию защита сообщения формы CSRF в направляющих создает маркер подлинности для пользователя, который только изменяется, когда сессия пользователя изменяется. Один из наших клиентов сделал проверку защиты нашего сайта и...
Я хотел бы предложить веб-сервис через JSONP и задавался вопросом, если я должен санировать значение от параметра обратного вызова. Мой текущий серверный сценарий в настоящее время похож на это (Более или менее...
Я ищу java-библиотеку, которая может обеспечить защиту от XSS-атак. Я пишу сервер и хочу убедиться, что вводимые мной данные не содержат вредоносного javascript. Какая библиотека ...
Кажется, что точка window.postMessage должна позволить безопасную коммуникацию между окнами/кадрами, размещенными на различных доменах, но это, на самом деле кажется, не позволяет это в Chrome. Вот...
Я пытаюсь считать xml в веб-страницу с другого сервера, и я предполагаю, что моей проблемой является политика Того-же-источника и поэтому перекрестная доменная проблема. У меня есть немного поиска с помощью Google, и это кажется этим jsonp...
Могу я использовать ActionView:: Помощники:: SanitizeHelper#sanitize на вводимом пользователем тексте, который я планирую на показе другим пользователям? Например, это правильно обработает все случаи, описанные на этом сайте? Кроме того...
Я просто обнаружил Erubis, замену для рендерера представления по умолчанию для Ruby on Rails. Однако от того, что я могу сказать от чтения об этом, это выше через плату. Это намного быстрее. Это имеет...
Ранее, Друг Google, которого Подключение потребовало, чтобы пользователи загрузили несколько файлов на свои веб-сайты для включения перекрестной доменной коммуникации и Подключения Facebook все еще, требует, чтобы Вы загрузили единственный файл на...
Я создал исполняемый файл, который запускает диалоговое окно, в которое встраивается элемент управления ActiveX веб-браузера IE (C++). Я хочу, чтобы это управление позволило перекрестные сценарии сайта. Один кадр на веб-странице...
Каждый раз, когда я вхожу в систему к одному Сервису Google, я автоматически зарегистрирован все их другие веб-сайты на различных доменах. То, что я хочу знать, - то, как они в состоянии получить доступ к разрозненным cookie и...
Я читал учебник «Сделай сам» по виджетам - Как встроить свой сайт на другой сайт для виджетов XSS от доктора Ника. Я ищу способ передать параметры в тег скрипта. Например, чтобы сделать следующее ...
У меня есть веб-страница, которая отправляет электронную почту. В этом письме есть ссылка для перехода на веб-страницу. Если я уже вошел в веб-приложение, то я не получаю «Предупреждение NoScript XSS». Но если я не войду в приложение ...
В методе JS я использую объект события, чтобы получить значения. Например, event.data получает ошибку для этого в checkMarx, когда клиент вводит код dom на страницу vf и файл .js для этой строки. как это решить. пытался ...
Я пытаюсь создать инструмент xss-finder для автоматизации своей задачи по копированию и вставке полезных данных в URL. Я хочу использовать сценарии оболочки / сценарии bash. Я читал о функции "curl" в Linux, но не ... ,
Итак, я играл использовать HTTP для развлечения в telnet сейчас (т.е. просто набираю telnet google.com 80 и вставляю случайные GET и POST с разными заголовками и т.п.), но я наткнулся на ...
У меня есть вводимые пользователем данные. В моем коде я гарантирую, что следующие символы экранированы: & -> & <-> <> ->> OWASP заявляет, что есть еще символы ...
Я хочу уйти от XSS в контексте HTML, и пока я обрабатываю <, > и "персонажи.
Видимо, рекомендуется также избегать амперсанда, но почему? (Кроме сохранения ...
Допустим, мы используем CSRF-токен в наших формах, но бывает, что на нашем сайте есть незамеченная XSS-дыра. Насколько я понимаю, защита CSRF-токена в этом случае полностью недействительна, потому что...