preguntar acerca de xss

Je ne suis pas préoccupé par d'autres types d'attaques. Je veux juste savoir si HTML Encode peut empêcher toutes sortes d'attaques XSS. Existe-t-il un moyen de faire une attaque XSS même si L'encodage HTML est utilisé? ... …

Est-il possible d'utiliser des scripts intersite dans une feuille de style CSS? Par exemple, une feuille de style de référence contient du code malveillant, comment feriez-vous cela? Je sais que vous pouvez utiliser des balises de style, mais qu'en e …

J'ai trouvé un article affirmant que $_SERVER['PHP_SELF'] est vulnérable à XSS. Je ne suis pas sûr de l'avoir bien compris, mais je suis presque sûr que c'est faux. Comment cela peut-il être vulnérable aux attaques XSS!? <form method="post" act …

J'ai récemment vu XSSI mentionné sur plusieurs pages, par exemple Web Application Exploits and Defenses : Les navigateurs empêchent les pages d'un domaine de lire des pages dans d'autres domaines. Mais ils n'empêchent pas les pages d'un domaine …

Je ne fais que créer un formulaire d'inscription, et je ne cherche qu'à insérer des e-mails valides et sûrs dans la base de données. plusieurs sites (y compris w3schools) recommandent d'exécuter FILTER_SANITIZE_EMAIL avant D'exécuter FILTER_VALIDAT …

Il y a l'Attribut de Style attaques XSS comme: <DIV STYLE="width: expression(alert('XSS'));"> Ou <DIV STYLE="background-image: url(javascript:alert('XSS'))"> Tous les exemples j'ai vu utilisez la fonctionnalité d'expression ou d'url …

je cherche classe/util etc. pour assainir le code HTML, c'est-à-dire supprimer les étiquettes dangereuses, les attributs et les valeurs pour éviter les attaques XSS et similaires. je reçois du code html de l'éditeur de texte riche (par exemple Tiny …

Jeff a effectivement posté à ce sujet dans Sanitize HTML. Mais son exemple est en C# et je suis en fait plus intéressé par une version Java. Est-ce que quelqu'un a une meilleure version pour Java? Son exemple est-il suffisant pour convertir directem …

disons que nous avons ce formulaire, et le possible pour un utilisateur d'injecter du code malveillant est en-dessous de ... <input type=text name=username value= <?php echo htmlspecialchars($_POST['username']); ?>> ... nous ne …

est-il possible de désactiver temporairement la protection XSS des navigateurs modernes à des fins de test? j'essaie d'expliquer à un collègue ce qui se passe quand on envoie ceci à un formulaire Web XSS-vulnerable: <script>alert("Danger");& …