Klausimai pažymėti „xss“

Įvairių svetainių scenarijus (XSS) - tai kompiuterio saugumo pažeidžiamumas, paprastai aptinkamas žiniatinklio programose, kuri leidžia užpuolikams į scenarijų kliento pusę įdėti į kitų naudotojų peržiūrėtus tinklalapius. Kelių svetainių scenarijų atakų pažeidžiamumą atakuotojai gali naudoti norėdami apeiti prieigos kontrolės priemones, pvz., Tą pačią kilmės politiką.
18
atsakymai

Koks yra geriausias būdas dezinfekuoti vartotojo įvestį naudojant PHP?

Ar yra kažkokia „catchall“ funkcija, kuri gerai tinka dezinfekuoti naudotojo įvestį SQL injekcijoms ir XSS atakoms, bet leidžia tam tikrų tipų html žymes?
nustatytas 24 sep. '08 11:20 val
9
atsakymai

Kaip išvengti XSS su HTML / PHP?

Kaip užkirsti kelią „XSS“ („cross-site scripting“) naudojant tik HTML ir PHP? Šią temą mačiau daug kitų pranešimų, bet neradau straipsnio, kuris aiškiai ir trumpai pasakytų, kaip iš tikrųjų užkirsti kelią XSS.
nustatytas sausio 03 d '10, 23:09
4
atsakymai

Kas yra „http“ antraštė „X-XSS-Protection“?

Taigi, aš jau aptariau HTTP su praradimu telnet'e dabar (pvz., Tiesiog įvesdami „telnet google.com 80“ ir pridedant atsitiktinę GET ir POST su skirtingais antraštėmis ir tt), bet aš susitikau, ką google.com siunčia Be to, antraštėse, kurias aš nežinau. Aš kalbu apie ...
01 Feb rinkinys '12 6:59
6
atsakymai

Ar htmlspecialchars ir mysql_real_escape_string turi saugoti PHP kodą nuo injekcijos?

Anksčiau šiandien buvo užduotas klausimas apie įvesties patvirtinimo taisykles žiniatinklio programose. Viršutinis atsakymas rašymo metu siūlo PHP tik naudojant htmlspecialchars ir mysql_real_escape_string. Mano klausimas yra toks: ar tai visada pakankamai? Daugiau turime ...
nustatyti 21 rugsėjo '08 11:58
3
atsakymai
9
atsakymai

Kaip įdiegti slapuką „HttpOnly“ PHP?

Kaip nustatyti slapukus „PHP“ programose kaip „HttpOnly“ slapukus?
nustatyti 31 d. '08, 5:27 val
9
atsakymai

Kaip konfigūruoti slapuką „HttpOnly“ tomcat / java žiniatinklyje?

Perskaitykite „Jeff“ tinklaraščio įrašą dėl „Slapukų apsaugos“: „HttpOnly“. Norėčiau įdiegti „HttpOnly“ slapukus savo žiniatinklio programoje. Kaip manote, kad tomcat naudoja tik HTTP sesijos slapukus?
paklausė 29 rug. '08 0:09
20
atsakymai

Kokie yra geriausi būdai, kaip užkirsti kelią xss atakoms PHP svetainėje?

Mano PHP yra sukonfigūruotas taip, kad būtų įjungtos magiškos kabutės ir neleidžiama registruoti pasaulinių kintamųjų. Aš stengiuosi visuomet skambinti „htmlentities“ () visiems, kurie gaunami iš vartotojo įvesties. Aš taip pat kartais ...
rugsėjo 16 d '08 14:20 val
7
atsakymai

ĮSPĖJIMAS: išvalykite nesaugaus stiliaus reikšmę

Noriu nustatyti „DIV“ fono paveikslėlį komponento šablone „2 kampas“ taikomojoje programoje. Tačiau toliau konsorcijoje gausiu tokį įspėjimą ir negaunu norimo efekto ... nesu tikras, kad dinaminio CSS fono vaizdas ...
liepos 26 d. 16 val
9
atsakymai

Ar HTML kodavimas užkerta kelią visų rūšių XSS atakoms?

Mane domina kiti atakų tipai. Tiesiog noriu žinoti, ar HTML kodavimas gali užkirsti kelią visų rūšių XSS atakoms. Ar yra būdas padaryti XSS ataką, net jei naudojamas HTML kodavimas?
nustatyti 10 sept. '08, 13:03
7
atsakymai

Neleisti XSS Node.js / javascript serverio pusėje

Bet kokia idėja, kaip galite užkirsti kelią „XSS“ atakoms „node.js“ programoje? Visos bibliotekos, kurios tvarko „JavaScript“ pašalinimą „hrefs“, „onclick“ atributuose ir tt iš paskelbtų duomenų? Aš nenoriu rašyti reguliarios išraiškos visiems :) Meilė ...
rugsėjo 14 d '10, 3:26
6
atsakymai

Ar jQuery.text () XSS metodas yra saugus?

Neturiu naudotojų duomenų. Tai saugu naudoti tokiu būdu: var data = '<test> a f "# </ test>'; // pvz .: duomenys iš ajax atsakymo, jei (tipo) === 'string') $ (" kūnas "). (duomenys); Ar galiu naudoti kaip, ...
yra nustatytas kovo 16 d. 12 val
2
atsakymai

Kas yra aukščiausio lygio JSON matricos ir kodėl jie kelia pavojų saugumui?

Toliau pateiktame vaizdo įraše laiko ženklas yra 21:40, „Microsoft PDC“ pranešėjas sako, kad svarbu, jog visas JSON būtų suvyniotas taip, kad jis nebūtų aukščiausio lygio masyvas: https://channel9.msdn.com/Events/PDC/PDC09/FT12 rizika, kad bus įdiegtas aukščiausio lygio masyvas? ...
rugpjūčio 17 d. '10, 16:48
7
atsakymai

Galutinė švari / saugi funkcija

Turiu daug vartotojo įvesties iš $ _GET ir $ _POST ... Šiuo metu visada rašau mysql_real_escape_string ($ _ GET ['var']). Norėčiau sužinoti, ar galite atlikti funkciją, kuri suteikia, pagreitina ir išvalo masyvus $ _GET / $ _ POST nedelsiant, ...
lapkričio 19 d. '10, 13:09
3
atsakymai

Kaip rodyti html įvesties formos reikšmes PHP?

Atsižvelgiant į šiuos du html / php fragmentus: <input type = "text" name = "firstname" value = "<? Php echo $ _POST ['firstname'];?>" /> Ir <textarea name = "content"> < ? php echo $ _POST ['content']; ?> </ textarea> ką koduoja s ...
birželio 06 d. 11 val