Вопросы по теме 'xss'
Перехват SQL-инъекций и других вредоносных веб-запросов
Я ищу инструмент, который может обнаруживать вредоносные запросы (такие как очевидные SQL-инъекции или сообщения) и немедленно блокирует IP-адрес инициатора запроса / добавляет его в черный список. Я знаю, что в идеальном мире наш код должен уметь...
8569 просмотров
schedule
22.02.2024
Как именно вы настраиваете httpOnlyCookies в ASP.NET?
Вдохновленный этой статьей CodingHorror, " Защита ваших файлов cookie: HttpOnly "
Как установить это свойство? Где-то в веб-конфигурации?
111935 просмотров
schedule
14.12.2022
Когда лучше всего дезинфицировать пользовательский ввод?
Пользователь равен ненадежному. Никогда не доверяйте вводу ненадежного пользователя. Я понимаю. Тем не менее, мне интересно, когда лучше всего дезинфицировать ввод. Например, вы слепо сохраняете пользовательский ввод, а затем очищаете его всякий...
15626 просмотров
schedule
29.07.2023
Код отказа в доступе к ограниченному URI: 1012
Как вы решаете эту проблему межсайтового скриптинга Ajax в FireFox 3?
47659 просмотров
schedule
19.09.2023
Как безопасно использовать fckEditor без риска межсайтового скриптинга?
Эта ссылка описывает эксплойт в моем приложении с использованием fckEditor: http://knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html
Как сделать приложение безопасным, продолжая использовать fckEditor? Это конфигурация fckEditor?...
5949 просмотров
schedule
08.07.2023
Следует ли очищать разметку HTML для размещенной CMS?
Я собираюсь создать для клиентов услугу, подобную размещенной CMS.
Как бы то ни было, потребовалось бы, чтобы клиент ввел текст, который будет доставлен всем, кто зайдет на их сайт. Я планирую использовать Markdown, возможно, в сочетании с WMD...
1479 просмотров
schedule
19.01.2023
Фильтр ввода HTTP, такой как mod_security для WebSphere?
Предлагает ли WebSphere входной фильтр HTTP/брандмауэр, такой как mod_security?
Я знаю, что Apache может быть интерфейсом HTTP-сервера для WebSphere, но такой тип конфигурации находится вне моего влияния. Мы застряли, используя только то, что...
1311 просмотров
schedule
12.01.2023
Может ли XSS-атака получить файлы cookie HttpOnly?
Прочтение этого сообщения в блоге о файлах cookie HttpOnly заставило меня задуматься, возможно ли HttpOnly cookie, который можно получить с помощью любой формы XSS? Джефф упоминает, что это "значительно поднимает планку", но звучит так, будто не...
21428 просмотров
schedule
14.04.2022
Как работает XSS?
Может ли кто-нибудь объяснить, как работает XSS на простом английском языке? Может с примером. Гугление мало помогло.
26698 просмотров
schedule
05.06.2022
как такие виджеты, как http://sharethis.com/, делают то, что кажется XSS-вызовами
Как получается, что подобные инструменты могут вызывать обратный вызов в стиле ajax на центральный сайт? в основном они дают вам тег ", который вы можете разместить на своем сайте, где бы он ни находился. Таким образом, в этом виджете у вас есть...
634 просмотров
schedule
10.06.2022
Очистить закодированный html текст (# десятичная нотация) из выходных данных AntiXSS v3
Привязываю для комментирования в движке блога XSS-safe. Пробовал много разных подходов, но очень сложно.
Когда я показываю комментарии, я сначала использую Microsoft AntiXss 3.0 для HTML-кодирования всего этого. Затем я пытаюсь...
4234 просмотров
schedule
17.04.2022
Повышение разрешения javascript в браузере?
Я работаю над внутренним инструментом, и я помню, что был какой-то способ заставить ваш скрипт запрашивать повышенные разрешения и, если он будет принят, разрешать межсайтовые запросы и т. д. Поскольку это внутренний инструмент, он может выполнить то,...
379 просмотров
schedule
20.05.2022
Какие браузеры поддерживают файлы cookie HttpOnly?
Какие браузеры поддерживают файлы cookie HttpOnly и с какой версии?
См. http://www.codinghorror.com/blog/archives/001167.html для обсуждения файлов cookie HttpOnly и предотвращения XSS.
25475 просмотров
schedule
30.01.2023
Как я могу сделать внешний код «безопасным» для запуска? Просто запретить eval()?
Я хотел бы иметь возможность позволить членам сообщества предоставлять свой собственный код javascript для использования другими, потому что коллективное воображение пользователей намного больше, чем все, о чем я мог подумать.
Но это поднимает...
2935 просмотров
schedule
13.08.2023
Меры по предотвращению уязвимости XSS (как в Twitter за несколько дней до этого)
Даже такие известные сайты, как Twitter, подвержены XSS-уязвимости. Что нам делать, чтобы предотвратить такую атаку?
1493 просмотров
schedule
08.05.2023
Предотвращение XSS-атак
Я нашел "базу данных" множества XSS-атак , и хотя этот список предоставляет довольно большой список атак, есть ли другие атаки, которые не попали в XML, на что следует обратить внимание и что наиболее неожиданно?
923 просмотров
schedule
27.05.2022
JavaScript - window.location - Permission Denied - Межсайтовый скриптинг
Этот вопрос является более конкретным описанием проблемы, которую я задал в этой теме . По сути, у меня есть веб-приложение, для которого я пытаюсь использовать функцию Twitter OAuth. В этом приложении есть ссылка, по которой пользователю...
3100 просмотров
schedule
22.04.2023
Любой редактор WYSIWYG с защитой от XSS-атак?
Мы использовали WYSIWYG Editor больше, чем я могу вспомнить. Простая вставка javascript в такой редактор делает его удобной площадкой для XSS-атак.
Кто-нибудь знает какой-либо редактор WYSIWYG, кроме интегрированного с предотвращением XSS?...
1354 просмотров
schedule
03.10.2022
HttpOnly и document.cookie
В поисках возможных способов получить cookie с включенным httpOnly я не могу найти ни одного. Но опять же, как расширения браузера, такие как Firebug, Add 'N Edit Cookie и т. д., могут получить файлы cookie? Разве злоумышленник не может сделать то...
1820 просмотров
schedule
30.08.2022
проблема с кодировкой символов - междоменный скриптинг
У меня есть веб-приложение Asp.Net, пользователи которого включают тег script на свою веб-страницу и получают данные с моего сервера (используя JsonP и универсальный обработчик (ashx))
Данные на иврите, и я установил кодировку utf-8 в ответ....
909 просмотров
schedule
09.01.2023
