คำถามติดแท็ก xss

มีฟังก์ชั่น catchall บางแห่งที่ทำงานได้ดีสำหรับฆ่าเชื้ออินพุตของผู้ใช้สำหรับการฉีด SQL และการโจมตี XSS ในขณะที่ยังอนุญาตแท็ก HTML บางประเภทอยู่?

1124 php  security  xss  sql-injection  user-input 

ฉันจะป้องกัน XSS (การเขียนสคริปต์ข้ามไซต์) โดยใช้ HTML และ PHP ได้อย่างไร ฉันเคยเห็นโพสต์อื่น ๆ อีกมากมายในหัวข้อนี้ แต่ฉันไม่พบบทความที่ชัดเจนและรัดกุมว่าจะป้องกัน XSS ได้อย่างไร

256 php  xss 

ดังนั้นฉันจึงเล่นกับ HTTP เพื่อความสนุกใน telnet ตอนนี้ (เช่นพิมพ์telnet google.com 80และวาง GET และ POST แบบสุ่มที่มีส่วนหัวที่ต่างกันและสิ่งที่คล้ายกัน) แต่ฉันเจอสิ่งที่ google.com ถ่ายทอดในส่วนหัวที่ฉัน ไม่รู้ ฉันได้ดูผ่านhttp://www.w3.org/Protocols/rfc2616/rfc2616.htmlและไม่พบคำจำกัดความสำหรับส่วนหัว http เฉพาะที่ google ดูเหมือนว่าจะพ่นออกมา: GET / HTTP/1.1 HTTP/1.1 200 OK Date: Wed, 01 Feb 2012 03:42:24 GMT Expires: -1 Cache-Control: private, max-age=0 Content-Type: text/html; charset=ISO-8859-1 Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com …

194 http  http-headers  xss 

ฉันอ่านสิ่งนี้ในบทช่วยสอนการตอบสนอง สิ่งนี้หมายความว่า? React มีความปลอดภัย เราไม่ได้สร้างสตริง HTML ดังนั้นการป้องกัน XSS จึงเป็นค่าเริ่มต้น การโจมตี XSS ทำงานอย่างไรหาก React ปลอดภัย ความปลอดภัยนี้บรรลุได้อย่างไร?

119 reactjs  security  xss 

คำถามในวันนี้ก่อนหน้านี้ถูกถามเกี่ยวกับกลยุทธ์การเข้าตรวจสอบในเว็บแอป คำตอบด้านบนในขณะที่เขียนแสดงให้เห็นในPHPเพียงแค่ใช้และhtmlspecialcharsmysql_real_escape_string คำถามของฉันคือเพียงพอหรือไม่? มีอะไรมากกว่านี้ที่เราควรรู้? ฟังก์ชันเหล่านี้พังตรงไหน?

116 php  security  xss  sql-injection 

ฉันต้องการตั้งค่าภาพพื้นหลังของ DIV ในเทมเพลตคอมโพเนนต์ในแอพ Angular 2 ของฉัน อย่างไรก็ตามฉันได้รับคำเตือนต่อไปนี้ในคอนโซลของฉันและฉันไม่ได้รับเอฟเฟกต์ที่ต้องการ ... ฉันไม่แน่ใจว่ารูปภาพพื้นหลัง CSS แบบไดนามิกถูกบล็อกเนื่องจากข้อ จำกัด ด้านความปลอดภัยใน Angular2 หรือหากเทมเพลต HTML ของฉันเสีย นี่คือคำเตือนที่ฉันเห็นในคอนโซลของฉัน (ฉันเปลี่ยน img url เป็น/img/path/is/correct.png: คำเตือน: การล้าง URL ค่ารูปแบบที่ไม่ปลอดภัย (SafeValue ต้องใช้ [คุณสมบัติ] = การผูก: /img/path/is/correct.png (ดูhttp://g.co/ng/security#xss )) (ดูที่http: // g.co/ng/security#xss ) สิ่งนี้คือฉันทำความสะอาดสิ่งที่ฉีดเข้าไปในเทมเพลตของฉันโดยใช้DomSanitizationServiceใน Angular2 นี่คือ HTML ของฉันที่ฉันมีในเทมเพลตของฉัน: <div> <div> <div class="header" *ngIf="image" [style.background-image]="'url(' + …

109 typescript  angular  xss 

ฉันอ่านวิดเจ็ต DIY แบบสอน- วิธีการฝังไซต์ของคุณบนไซต์อื่นสำหรับ XSS Widgets โดย Dr.Nic ฉันกำลังมองหาวิธีส่งผ่านพารามิเตอร์ไปยังแท็กสคริปต์ ตัวอย่างเช่นในการทำงานต่อไปนี้: <script src="http://path/to/widget.js?param_a=1&param_b=3"></script> มีวิธีทำไหม? ลิงค์ที่น่าสนใจสองลิงค์: วิธีการฝังวิดเจ็ต Javascript ที่ขึ้นอยู่กับ jQuery ในสภาพแวดล้อมที่ไม่รู้จัก (การอภิปราย Stackoverflow) บทความเกี่ยวกับการส่งพารามิเตอร์ไปยังแท็กสคริปต์

96 javascript  parameters  widget  xss  script-tag 

ฉันจะตั้งค่าคุกกี้PHP appsเป็นของฉันได้HttpOnly cookiesอย่างไร?

93 php  security  cookies  xss  httponly 

ดูเหมือนว่าจุดของwindow.postMessageคือการอนุญาตให้มีการสื่อสารที่ปลอดภัยระหว่าง windows / frames ที่โฮสต์บนโดเมนต่างๆ แต่ดูเหมือนจะไม่อนุญาตให้ใช้ใน Chrome นี่คือสถานการณ์: ฝัง <iframe> (พร้อมกับsrcโดเมน B * ) ในเพจบนโดเมน A <iframe> จะกลายเป็นแท็ก <script> เป็นส่วนใหญ่ในตอนท้ายของการดำเนินการ ... ฉันเรียก window.postMessage ( some_data , page_on_A ) <iframe> นั้นแน่นอนที่สุดในบริบทของโดเมน B และฉันยืนยันว่าจาวาสคริปต์ที่ฝังอยู่ใน <iframe> นั้นทำงานได้อย่างถูกต้องและเรียกpostMessageด้วยค่าที่ถูกต้อง ฉันได้รับข้อความแสดงข้อผิดพลาดนี้ใน Chrome: ไม่สามารถโพสต์ข้อความเพื่อ ผู้รับมีต้นกำเนิดB นี่คือรหัสที่ลงทะเบียนผู้ฟังเหตุการณ์ข้อความในหน้า A: window.addEventListener( "message", function (event) { // Do something }, false); …

89 javascript  html  google-chrome  xss