在perl语言中验证CGI事件参数以防止XSS (跨站点攻击)

文章/答案/技术大牛

发布

1回答

perl、cgi、xss

从IBM报告中，我了解到我的代码没有进行任何AppScan EVENT_PARAMETER验证，以防止站点受到XSS (跨站点脚本)攻击、链接注入(促进跨站点请求伪造)。我在我的CGI.pm中尝试了下面的所有验证，以检查我的EVENT_PARAMETERS是否包含任何不需要的字符。但什么都没成功。在perl中有没有其他方法可以

浏览 18提问于2019-02-14得票数 1

1回答

Ajax控件工具包编辑器控件-避免XSS攻击

asp.net、regex、xss、security、html-editor

我在的文章中注意到，微软不建议在公共站点中使用Ajax控件工具包中的编辑器控件，因为存在跨站点脚本攻击的危险。我试过了，即使您专门将NoScript=设置为“true”，也可以添加脚本，从而引入XSS攻击漏洞。在我的情况下，我们正在研究一个奖学金申请程序，我们希望用这个程序给所有被提名者在网上打一篇论文。所以我想知道是否有人知道一种简单的方法来验证内容以允许超文本标记语言，而不是脚本，也许可以使用我

浏览 0提问于2009-10-01得票数 1

回答已采纳

1回答

共享Cookies可以跨子域发送吗

google-chrome、cookies、cross-domain、subdomain

在这种情况下，我试图跨子域使用一个仅限Http的身份验证cookie。我已经验证了身份验证响应设置了cookie，我将响应中的域视为.mydomain.com。如果我在Chrome中打开cookie查看器(设置->显示高级设置->内容设置->所有cookie和站点数据.)我看到我的auth cookie存储在mydomain.com下(没有前导“.”但是，当我执行一个简单的get请求返回到我的auth服务器以获得一个完整的授权令牌时

浏览 1提问于2017-05-25得票数 1

回答已采纳

1回答

如何防止ajax响应中的跨站点脚本

xss、ajax

我有一个页面(parent.php)，通过jquery调用另一个页面(result.php)，该页面以html格式返回响应。这个响应显示在div的parent.php页面上。如何保护我的ajax响应免受xss攻击。result) $("#search_result").html(result);}); 在getResult.php页面中，我根据

浏览 0提问于2020-02-01得票数 0

6回答

web应用程序攻击，必须有防御方法

security、web-applications、defensive-programming

当一种编程或脚本语言嵌入到另一种编程或脚本语言中时，它是一个更通用的漏洞类的实例。跨站点脚本是一种通常在web应用程序中发现的计算机安全漏洞，它允许恶意web用户将代码注入其他用户查看的网页。此类代码的示例包括HTML代码和客户端脚本。攻击者可以使用受攻击的跨站点脚本漏洞

浏览 9提问于2009-02-04得票数 6

4回答

可能从暴露的链接中利用javascript？

javascript、exploit

在一个网站(我们的一个)的页面上，我可以在url中输入以下代码：有没有办法让人利用这一点

浏览 0提问于2008-10-22得票数 1

2回答

OpenID连接是否提供CSRF和XSS保护？

xss、csrf、openid-connect

缓解显然是实现一种“会话ID模式”，即创建一个会话ID，它存储在一个签名的HttpOnly cookie中，并且还包括在JWT中，在这种情况下，可以比较服务器端，以确保令牌对应于正确的会话。根据我对OpenID连接规范的有限理解，会话模式似乎是规范的一部分(作为state参数)，所以我假设使用兼容的实现应该足以在这种特定的上下文中保护CSRF/XSS。这是正确的假设吗？OpenID连接规范是否包括针对JWT的CSRF和XSS保护？

浏览 0提问于2020-12-29得票数 2

5回答

AntiXss.HtmlEncode和HttpUtility.HtmlEncode有什么区别？

asp.net、xss、html-encode、antixsslibrary

我刚刚遇到了一个问题，并给出了一个答案，建议AntiXss库避免跨站点脚本编写。读听起来很有趣，它似乎只是提供了一个HtmlEncode()方法。是否有AntiXss实现可以防止HttpUtility实现不会发生的攻击的例子？如果我继续使用HttpUtility实现，我是否面临风险？那呢

浏览 14提问于2009-10-22得票数 51

回答已采纳

2回答

是否有全局设置阻止sql注入和XSS？(ASP.NET)

c#、asp.net、web、xss、sql-injection

是否有全局设置阻止sql注入和XSS？我正在使用ASP.NET(网络表单)这是我发现的web.config设置，它能防止sql注入和XSS，它有效吗？谢谢

浏览 5提问于2014-03-22得票数 2

回答已采纳

1回答

净化用户输入以防止XSS

javascript、jquery、xss

它使用Windows身份验证。本文讨论了消毒用户的输入。在JavaScript/Jquery中是否有这样的函数？例如，如果用户输入：<script type='text/javascript'>alert('xss');</script>，那么我如何清理它？为了防止SQL注入攻击，可以使用内置到.NET中的命令

浏览 0提问于2017-03-23得票数 0

回答已采纳

1回答

Richtext字段的跨站点脚本漏洞问题

lotus-notes

我们试图解决的一个这样的问题是:跨站点脚本。以下是问题的详细信息。作为应用程序功能的一部分，数据正在从一个网页到另一个网页进行处理，以完全填充工作流过程。在数据处理过程中，我们需要帮助来处理富文本字段、数据表单、特殊字符()，以便为第三方级别的黑客攻击提供安全保障，因为我们的应用程序是公共领域的。跨站点脚本漏洞使黑客能够将客户端脚本(通常为JavaScript)放入网页中。XSS漏洞通常发生在应用程序接受用户输入并将其输出到页面中时，而不对其进行验证

浏览 25提问于2019-05-14得票数 0

2回答

XSS/跨站点脚本也包括CSS注入吗？

css、security、xss

我正在做一个关于网络安全的演示，并准备展示几个基本的跨站点脚本示例。有趣的是，在使用Chrome处理这些示例时，我遇到了Chrome的XSS预防功能，它将检测是否正在执行请求中也存在的脚本；非常漂亮的特性。我想知道的是:我所做的仍然是跨站点脚本，还是被称为其他东西？它仍然是一种将内容注入页面以改变布局的攻击，并且可能会做一些邪恶的事情，比如添加提交给攻击者站点的表单，但它没有显式地注入脚本。我想确保我的语义是正确的，

浏览 0提问于2012-03-11得票数 2

2回答

在插入数据库之前还是在页面上打印之前，应该使用“strip_tags()”吗？

php、security

我正在遵循各种步骤，以防止任何类型的注射或攻击我的网络应用程序。在我跟踪他们的时候，我突然想到了一个问题:要防止你的网络应用受到攻击，最基本的措施之一就是阻止用户编写可能会伤害到其他用户的恶意脚本。在我读过的资料中，它说你应该使用strip_tags()或htmlentities()，但还不清楚我是在将用户数据插入数据库之前，还是在打印出来之前，还是两者兼而有之。

浏览 0提问于2019-04-29得票数 1

回答已采纳

2回答

HTML漏洞

web-application、javascript、known-vulnerabilities、html-5

背景1)如何建议对文本字段进行安全保护(在被接受到html解析器之前验证输入(我在其他解析器之前就知道了这一点))？ ( 2)文本不持久的事实是否相关？能做些什么(并不是真的在寻找代码.必然.)用这个？

浏览 0提问于2012-02-04得票数 3

回答已采纳

2回答

在CSRF攻击中，可以使用postMessage将数据转发给黑客的iframe吗？

csrf、same-origin-policy、html-5

考虑一个具有密码的合法站点的开放会话的用户。此页面没有反CSRF令牌。这次攻击有可能吗？

浏览 0提问于2015-04-14得票数 2

4回答

客户端抗XSS措施

xss、vulnerability

用于防止XSS的可靠和稳定的客户端JavaScript库是什么?为什么？如果你能提供以下细节，那将是非常有益的：符合任何标准(如OWASP准则)他们是否通过了任何测试(是否有这样的行业标准XSS测试？)

浏览 0提问于2016-08-10得票数 4

5回答

在NodeJS中，确保用户提交的(文本输入)表单中的数据不是恶意的好方法是什么？

xss、sql-injection、node.js

应该检查脚本注入攻击(XSS和SQLi)是客户端还是服务器端？我在国家预防机制中检查了一些与安全有关的模块，但它们似乎主要涉及到其他模块的安全性，而且可能我遗漏了一些有用的东西。

浏览 0提问于2015-08-17得票数 7

回答已采纳

2回答

用于保护应用程序的节点js技术或步骤

node.js、mongodb、security

我对这类工作是新手，我需要有关保护应用程序免受黑客攻击的技术或步骤的步骤和信息。目前，我正在使用Nodejs构建一个应用程序，我的数据库是MongoDB。

浏览 0提问于2018-04-23得票数 0

2回答

这些javascript方法能被认为是安全的XSS吗？

javascript、html、xss、single-page-application

这也意味着所有HTML都呈现在浏览器中，所有模板(正在使用剔除)似乎都不受用户输入的影响，因为模板不是由后端动态构造的，而是静态地嵌入在客户机中的。here directly, but there are URIs where this could be set using an outside link 所以现在的问题是:这些方法都是100%的XSS或者仍然有任何方法来触发XSS攻击--如果“是”，怎么做呢？

浏览 1提问于2015-07-20得票数 5

回答已采纳

1回答

如何使用JavaScript防止textarea元素上的跨站点请求伪造？

javascript、ecmascript-6、csrf

我在innerContent中也尝试过同样的方法，但是这只会导致错误日志。注意:这是一个，删除了前三行。

浏览 1提问于2021-06-22得票数 1

回答已采纳

点击加载更多