Questions sur xss

18
réponses

Quelle est la meilleure méthode pour assainir les entrées des utilisateurs avec PHP?

y a-t-il une fonction catchall quelque part qui fonctionne bien pour assainir les entrées des utilisateurs pour l'injection SQL et les attaques XSS, tout en permettant certains types de balises html?
demandé sur 2008-09-25 00:20:39
6
réponses

Est-ce que htmlspecialchars et mysql real escape string protègent mon code PHP de l'injection?

plus tôt aujourd'hui, une question a été posée concernant stratégies de validation des entrées dans les applications w ... uestion est: Est-ce toujours suffisant? Est-il plus que nous devrions savoir? Où ces fonctions se décomposent-elles?
demandé sur 2008-09-21 12:58:26
3
réponses

Comment utilisez-vous de la fenêtre.postMessage à travers les domaines?

on dirait le point de la fenêtre .postMessage est de permettre une communication sûre entre windows/frames hébergé s ... .) pas fait pour ça? Ou est-ce que je le fais horriblement mal? *type Mime text/html, il doit rester.
demandé sur 2010-08-11 14:29:04
8
réponses

Comment configurer HttpOnly cookies dans tomcat / java webapps?

après avoir lu le billet de Jeff sur protéger vos Cookies: HttpOnly . J'aimerais implémenter des cookies HttpOnly dans mon application web. Comment dire à tomcat d'utiliser des cookies http uniquement pour les sessions?
demandé sur 2008-08-29 01:09:30
20
réponses

Quelles sont les meilleures pratiques pour éviter les attaques xss sur un site PHP?

J'ai configuré PHP pour que les guillemets magiques soient activés et que les globals s'enregistrent soient désactivés ... ue dois-je faire d'autre et comment puis-je m'assurer que les choses que j'essaie de faire sont toujours fait.
demandé sur 2008-09-16 15:20:02
2
réponses

Que sont les "tableaux JSON de haut niveau" et pourquoi constituent-ils un risque pour la sécurité?

dans la vidéo ci-dessous, au marqueur de temps 21:40, le présentateur de PDC de Microsoft dit qu'il est important que ... vulnérable? J'achète de nombreux composants de tiers et j'ai des fournisseurs externes qui développent mon code.
demandé sur 2010-08-17 17:48:30
9
réponses

L'encodage HTML empêchera-t-il toutes sortes d'attaques XSS?

Je ne suis pas préoccupé par d'autres types d'attaques. Je veux juste savoir si L'encodage HTML peut empêcher toutes sortes d'attaques XSS. y a-t-il un moyen de faire une attaque XSS même si le code HTML est utilisé?
demandé sur 2008-09-10 14:03:08
8
réponses

XSS prévention en JSP/Servlet application web

Comment puis-je prévenir les attaques XSS dans une application web JSP/Servlet?
demandé sur 2010-04-17 19:35:27
7
réponses

Prévention de XSS dans le noeud.js / javascript côté serveur

N'importe quelle idée de comment on irait sur la prévention des attaques XSS sur un noeud.js application? Tous les lib ... rtir de données publiées? Je ne veux pas avoir à écrire un regex pour tout cela:) des suggestions?
demandé sur 2010-09-14 04:26:10
9
réponses

Comment passer des paramètres à une balise de Script?

j'ai lu le tutoriel: http://drnicwilliams.com/2006/11/21/diy-widgets/ pour XSS Widgets par le Dr Nic. ... nconnu (discussion Stackoverflow) article sur la transmission de paramètres à une étiquette de script
demandé sur 2011-03-14 00:05:21
7
réponses

La fonction ultime de nettoyage / sécurité

j'ai beaucoup d'entrées utilisateur de $_GET et $_POST ... En ce moment, j'écris toujours mysql_real_escape_string($_G ... s($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }
demandé sur 2010-11-19 13:09:48
2
réponses

CSRF, XSS et SQL Injection attack prevention in JSF

j'ai une application web construite sur JSF avec MySQL comme DB. J'ai déjà mis en œuvre le code pour empêcher CSRF dan ... site OWASP et leurs cheat sheets . dois-je prendre soin d'autres vecteurs d'attaque potentiels?
demandé sur 2011-10-11 10:30:15
8
réponses

Comment puis-je empêcher les gens de faire des XSS au printemps MVC?

Que dois-je faire pour empêcher XSS en MVC printemps? En ce moment, je ne fais que mettre tous les endroits où je sors ... quelque chose? Je collecte les entrées en spécifiant les paramètres @RequestParam sur mes méthodes de controller.
demandé sur 2010-01-27 18:10:56
4
réponses

Est-ce que strip tags() est vulnérable aux attaques de scripting?

Est-il connu XSS ou autre attaque que fait passé une $content = "some HTML code"; $content = strip_tags($conten ... ique qui a été soulevée ici . référence: strip_tags() implémentation dans le code source PHP
demandé sur 2011-04-26 13:40:14
8
réponses

La meilleure façon de gérer la sécurité et d'éviter XSS avec les URL saisies par l'utilisateur

nous avons une application de haute sécurité et nous voulons permettre aux utilisateurs d'entrer des URLs que les autr ... excellentes suggestions jusqu'à présent) qui pourrait exclure tout ce que je pourrais penser d', mais est-ce assez?
demandé sur 2008-10-15 22:46:52
3
réponses

Scénarisation croisée dans les feuilles de style CSS

est-il possible d'utiliser des scripts cross site dans une feuille de style CSS? Par exemple, une feuille de style de ... feriez-vous cela? Je sais que vous pouvez utiliser des étiquettes de style, mais qu'en est-il des feuilles de style?
demandé sur 2010-08-31 13:52:38
2
réponses

Guide pour s'échapper correctement dans le cadre de jeu

j'essaie de voir comment Play framework supporte l'évasion. il s'agit d'une page agréable énonçant la fonctio ... . Il me semble que la réponse est "rouler" dans plusieurs cas, mais peut-être que je suis absent ce qui est inclus.
demandé sur 2011-04-23 18:17:02
7
réponses

CodeIgniter-désactiver le filtrage XSS sur une base post

j'essaye de mettre en place un CMS à l'arrière d'un site mais chaque fois que post data y a un <a href=... les post ... $this->input->post('content', true); - allume, mais comment l'éteindre? merci à tous. PVS
demandé sur 2010-09-24 19:17:39
2
réponses

html/XSS échappement sur l'entrée de sortie vs

de tout ce que j'ai vu, il semble que la convention pour échapper au html sur le contenu entré par l'utilisateur (dans ... sécurité, à la sortie? j'aimerais entendre les arguments html échapper à la page de rendu est préféré
demandé sur 2012-06-29 02:00:01
5
réponses

Est du jQuery $.get() coffre-fort pour appeler sur un non approuvés URL?

j'ai récemment appris que $.getJSON() de jQuery est pas sûr d'appeler sur une URL non fiable . Et $.get() ? Est-ce ... vérifier? Ou ce motif de code est-il toujours une vulnérabilité XSS, indépendamment de la façon dont f est codé?
demandé sur 2015-03-14 03:48:19
8
réponses

Attraper L'Injection SQL et D'autres requêtes Web malveillantes

je suis à la recherche d'un outil qui peut détecter les requêtes malveillantes (telles que l'injection SQL évidente ob ... la communauté afin que je puisse voir quelles sont mes options en ce qui a trait à la mise en œuvre et à l'approche.
demandé sur 2008-08-04 18:40:58
1
réponses

params.Fusion et écriture de scripts sur plusieurs sites

j'utilise Brakeman pour identifier les problèmes de sécurité. Il signale tous les liens qui utilisent params.merge ... |archive| = link_to "FTP", params.merge(:action => :ftp, :archive => archive, :recipient => "company")
demandé sur 2012-09-05 00:54:55
3
réponses

Cross-site XMLHttpRequest

je veux fournir un morceau de code Javascript qui fonctionnera sur n'importe quel site Web où il est inclus, mais il a ... st pour publier des données à abc.com? Dans autrement dit, est abc.com parce que nous avons chargé Javascript de là?
demandé sur 2008-12-27 17:32:59
3
réponses

comment configurer httponly et le cookie de session pour l'application Web java

Salut je travaille sur le problème XSS(cross site scripting). mon application se développe sur oracle Weblogic portal. ... ous plaît partager. s'il y a d'autres moyens de mettre httponly ou secure flag, s'il vous plaît aidez-nous.
demandé sur 2013-03-20 01:01:51
5
réponses

Comment puis-je forcer le navigateur à ne pas stocker les données du champ de formulaire html?

en tapant dans les formulaires html, les navigateurs comme firefox ou ie stockent les valeurs, parfois tranquillement. ... exemple). Le client peut alors sélectionner ces données contaminées et compromettre le site. Cordialement.
demandé sur 2009-01-23 06:28:54
7
réponses

Quel pourcentage de mon temps sera consacré à la vérification des entrées des utilisateurs pendant le développement web?

je suis nouveau à développer des choses sur le web. Jusqu'à présent, je passe beaucoup de temps (environ 50%) à essay ... mettre des choses comme l'injection sql dans mes formulaires d'entrée et de valider côté serveur. Est-ce normal?
demandé sur 2008-09-21 11:14:46
1
réponses

GetJSON () est-il sûr de faire appel à une URL non fiable?

est-il sûr d'appeler $.getJSON() de jQuery avec un argument URL qui vient d'une source non fiable, comme un autre util ... dangereuse dans certaines conditions, dans quelles conditions (p. ex. versions du navigateur) est-elle sécuritaire?
demandé sur 2015-03-13 03:26:38
5
réponses

Dois-je nettoyer le balisage HTML pour un SGC hébergé?

je suis à la recherche de démarrer un service hébergé de type CMS pour les clients. comme il le ferait, il ex ... iliser leur propre javascript, et ont leur propre feuille de style css et les divs et ce n'est pas pour la sortie de
demandé sur 2008-10-07 01:06:12
1
réponses

Pas bien formé Json lors de l'envoi à CouchDB

j'ai eu un problème avec l'envoi json vers l'avant lors de l'utilisation de nœud.js comme un proxy pour prévenir les problèmes xss. en enregistrant les données reçues, je n'ai pas pu trouver de problèmes.
demandé sur 2012-12-17 18:21:36
2
réponses

Est URLEncoder.encoder (chaîne, "UTF-8") une mauvaise validation?

dans une partie de mon code J2EE/java, je fais un URLEncoding sur la sortie de getRequestURI() pour le nettoyer pour prévenir les attaques XSS, mais fortifier SCA considère que la validation médiocre. pourquoi?
demandé sur 2012-02-15 14:46:45