Questions sur xss

18
réponses

Quelle est la meilleure méthode pour assainir les entrées des utilisateurs avec PHP?

y a-t-il une fonction catchall quelque part qui fonctionne bien pour assainir les entrées des utilisateurs pour l'injection SQL et les attaques XSS, tout en permettant certains types de balises html?
demandé sur 2008-09-25 00:20:39
6
réponses

Est-ce que htmlspecialchars et mysql real escape string protègent mon code PHP de l'injection?

plus tôt aujourd'hui, une question a été posée concernant stratégies de validation des entrées dans les applications w ... uestion est: Est-ce toujours suffisant? Est-il plus que nous devrions savoir? Où ces fonctions se décomposent-elles?
demandé sur 2008-09-21 12:58:26
3
réponses

Comment utilisez-vous de la fenêtre.postMessage à travers les domaines?

on dirait le point de la fenêtre .postMessage est de permettre une communication sûre entre windows/frames hébergé s ... .) pas fait pour ça? Ou est-ce que je le fais horriblement mal? *type Mime text/html, il doit rester.
demandé sur 2010-08-11 14:29:04
8
réponses

Comment configurer HttpOnly cookies dans tomcat / java webapps?

après avoir lu le billet de Jeff sur protéger vos Cookies: HttpOnly . J'aimerais implémenter des cookies HttpOnly dans mon application web. Comment dire à tomcat d'utiliser des cookies http uniquement pour les sessions?
demandé sur 2008-08-29 01:09:30
20
réponses

Quelles sont les meilleures pratiques pour éviter les attaques xss sur un site PHP?

J'ai configuré PHP pour que les guillemets magiques soient activés et que les globals s'enregistrent soient désactivés ... ue dois-je faire d'autre et comment puis-je m'assurer que les choses que j'essaie de faire sont toujours fait.
demandé sur 2008-09-16 15:20:02
2
réponses

Que sont les "tableaux JSON de haut niveau" et pourquoi constituent-ils un risque pour la sécurité?

dans la vidéo ci-dessous, au marqueur de temps 21:40, le présentateur de PDC de Microsoft dit qu'il est important que ... vulnérable? J'achète de nombreux composants de tiers et j'ai des fournisseurs externes qui développent mon code.
demandé sur 2010-08-17 17:48:30
8
réponses

XSS prévention en JSP/Servlet application web

Comment puis-je prévenir les attaques XSS dans une application web JSP/Servlet?
demandé sur 2010-04-17 19:35:27
9
réponses

L'encodage HTML empêchera-t-il toutes sortes d'attaques XSS?

Je ne suis pas préoccupé par d'autres types d'attaques. Je veux juste savoir si L'encodage HTML peut empêcher toutes sortes d'attaques XSS. y a-t-il un moyen de faire une attaque XSS même si le code HTML est utilisé?
demandé sur 2008-09-10 14:03:08
7
réponses

Prévention de XSS dans le noeud.js / javascript côté serveur

N'importe quelle idée de comment on irait sur la prévention des attaques XSS sur un noeud.js application? Tous les lib ... rtir de données publiées? Je ne veux pas avoir à écrire un regex pour tout cela:) des suggestions?
demandé sur 2010-09-14 04:26:10
7
réponses

La fonction ultime de nettoyage / sécurité

j'ai beaucoup d'entrées utilisateur de $_GET et $_POST ... En ce moment, j'écris toujours mysql_real_escape_string($_G ... s($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }
demandé sur 2010-11-19 13:09:48
9
réponses

Comment passer des paramètres à une balise de Script?

j'ai lu le tutoriel: http://drnicwilliams.com/2006/11/21/diy-widgets/ pour XSS Widgets par le Dr Nic. ... nconnu (discussion Stackoverflow) article sur la transmission de paramètres à une étiquette de script
demandé sur 2011-03-14 00:05:21
2
réponses

CSRF, XSS et SQL Injection attack prevention in JSF

j'ai une application web construite sur JSF avec MySQL comme DB. J'ai déjà mis en œuvre le code pour empêcher CSRF dan ... site OWASP et leurs cheat sheets . dois-je prendre soin d'autres vecteurs d'attaque potentiels?
demandé sur 2011-10-11 10:30:15
8
réponses

Comment puis-je empêcher les gens de faire des XSS au printemps MVC?

Que dois-je faire pour empêcher XSS en MVC printemps? En ce moment, je ne fais que mettre tous les endroits où je sors ... quelque chose? Je collecte les entrées en spécifiant les paramètres @RequestParam sur mes méthodes de controller.
demandé sur 2010-01-27 18:10:56
4
réponses

Est-ce que strip tags() est vulnérable aux attaques de scripting?

Est-il connu XSS ou autre attaque que fait passé une $content = "some HTML code"; $content = strip_tags($conten ... ique qui a été soulevée ici . référence: strip_tags() implémentation dans le code source PHP
demandé sur 2011-04-26 13:40:14
8
réponses

La meilleure façon de gérer la sécurité et d'éviter XSS avec les URL saisies par l'utilisateur

nous avons une application de haute sécurité et nous voulons permettre aux utilisateurs d'entrer des URLs que les autr ... excellentes suggestions jusqu'à présent) qui pourrait exclure tout ce que je pourrais penser d', mais est-ce assez?
demandé sur 2008-10-15 22:46:52
3
réponses

IE8 filtre XSS: qu'est-il vraiment le faire?

Internet Explorer 8 a une nouvelle fonctionnalité de sécurité, un filtre XSS qui tente d'intercepter les tentatives de sc ... ame. Pour le voir en action, visitez AOL Food la page et cliquez sur l'icône "Imprimer" juste au-dessus de l'histoire.
demandé sur 2010-01-12 22:12:58
5
réponses

Quelle est la différence entre anti-xss.HtmlEncode et HttpUtility.HtmlEncode?

j'ai juste couru à travers une question avec une réponse suggérant la bibliothèque AntiXss pour éviter le script de site ... ttpUtility ne ferait pas? si je continue à utiliser L'implémentation HttpUtility, suis-je à risque? Ce sujet ce 'bug'?
demandé sur 2009-10-22 21:48:03
9
réponses

Pourquoi la croix-domaine Ajax est un problème de sécurité?

pourquoi a-t-on décidé d'utiliser XMLHTTPRequest pour faire des appels XML ne devrait pas faire des appels à travers les ... la banque serait incapable de dire qu'il n'était pas seulement un utilisateur régulier soumettant tous ces formulaires.
demandé sur 2009-01-21 23:01:16
3
réponses

Scénarisation croisée dans les feuilles de style CSS

est-il possible d'utiliser des scripts cross site dans une feuille de style CSS? Par exemple, une feuille de style de ... feriez-vous cela? Je sais que vous pouvez utiliser des étiquettes de style, mais qu'en est-il des feuilles de style?
demandé sur 2010-08-31 13:52:38
5
réponses

Est-ce que Vérifier le referrer est suffisant pour protéger contre une attaque CSRF?

est-ce que Vérifier le referrer est suffisant pour protéger contre une attaque de falsification de requête? Je sais que le ... n moyen pour l'attaquant de faire ça pour le client? Je sais que les jetons sont la norme, mais serait-ce de travailler?
demandé sur 2009-09-12 05:10:03
10
réponses

Fonction de filtrage XSS en PHP

Quelqu'un connaît-il une bonne fonction pour filtrer les entrées génériques des formulaires? Zend_Filter_input semble exig ... ue penser de quelque chose de la forme : http://snipplr.com/view/1848/php--sacar-xss/ merci Beaucoup pour toute entrée.
demandé sur 2009-08-26 22:53:30
8
réponses

Chrome: ERR bloqué par XSS AUDITOR détails

je reçois ce drapeau de chrome en essayant de poster et puis obtenir un formulaire simple. le problème est que la Consol ... qu'il y a une option pour regarder ceci plus en détail? Voir le morceau de code qui déclenche l'erreur pour le fixer...
demandé sur 2017-04-06 11:39:57
4
réponses

Quels navigateurs prennent en charge les cookies HttpOnly?

quels navigateurs prennent en charge les cookies HttpOnly, et depuis quelle version? Please see http://www.codinghorror.com/blog/archives/001167.html pour une discussion sur les cookies HttpOnly et XSS-prevention.
demandé sur 2009-02-09 17:45:38
5
réponses

HTML: dois-je encoder plus grand que ou pas? (>>)

lors de l'encodage de données potentiellement dangereuses, y a-t-il une raison de coder >? valide de toute façon. le ... illemets attr=data. : - o (pas de qui se passe!) Esthétique dans le code. (et alors?) est-ce que je rate quelque chose?
demandé sur 2012-01-26 01:37:54
4
réponses

Est-il possible D'exploiter les réponses JSON avec XSS avec une chaîne JavaScript appropriée pour s'échapper?

les réponses JSON peuvent être exploitées par des constructeurs de tableaux ou si les valeurs hostiles ne sont pas échapp ... l'alerte: {"myJSON": "legit", "someParam": "12345<script>alert(1)</script>"} ai-je raison ou Ai-je tort?
demandé sur 2010-06-30 07:44:17
6
réponses

Comment fonctionne XSS?

Quelqu'un peut-il expliquer comment fonctionne XSS en anglais? Peut-être avec un exemple. Google n'a pas beaucoup d'aide.
xss
demandé sur 2008-10-27 09:12:26
3
réponses

Java Pratiques Exemplaires pour Prévenir le Cross Site Scripting [fermé]

j'ai passé en revue les dix vulnérabilités les plus importantes D'OWASP et j'ai découvert que le script Cross-Site est ce ... meilleure façon d'empêcher les scripts de sites croisés de valider et de remplacer l'entrée ou l'encodage de la sortie ?
demandé sur 2009-07-21 18:58:15
4
réponses

Un exemple simple d'une attaque de script sur plusieurs sites [closed]

quelqu'un Peut-il me montrer un Cross-site scripting attaque en effet sur mon navigateur? Il y a un exemple sur l'internet qui fait cela? Je n'ai pas trouvé cela sur internet. plus l'exemple est simple, mieux c'est.
xss
demandé sur 2012-03-06 16:45:04
6
réponses

Assainir les entrées de l'utilisateur avant de les ajouter au DOM en Javascript

j'écris le JS pour une application de chat sur laquelle je travaille dans mon temps libre, et j'ai besoin d'avoir des ide ... ives. Je suis surtout habitué à épurer les entrées avant qu'elles ne passent dans un noeud de texte, pas un id lui-même.
demandé sur 2010-05-08 16:59:11
2
réponses

Qu'est-ce que ça veut dire quand ils disent que React est protégé par XSS?

j'ai lu ceci dans le tutoriel React. Qu'est-ce que cela signifie? Réagir est sûr. Nous ne générons pas de chaînes HT ... otection XSS est la valeur par défaut. Comment fonctionnent les attaques XSS si React est sûr? Comment est-ce réalisé?
demandé sur 2015-11-11 07:56:05