如何修复PHP输出字符串中的“网页中与脚本相关的HTML标记的不正确中和(基本XSS)”
修复PHP输出字符串中的“网页中与脚本相关的HTML标记的不正确中和(基本XSS)”可以采取以下几种方法:
- 使用htmlspecialchars函数:htmlspecialchars函数可以将特殊字符转换为HTML实体,从而防止XSS攻击。在输出字符串之前,使用htmlspecialchars函数对字符串进行转义处理即可。例如:
echo htmlspecialchars($str, ENT_QUOTES, 'UTF-8');- 使用HTMLPurifier库:HTMLPurifier是一个开源的PHP库,可以过滤和清理HTML代码,防止XSS攻击。可以通过引入HTMLPurifier库,并使用其提供的过滤器对输出字符串进行过滤。例如:
require_once 'HTMLPurifier/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
echo $purifier->purify($str);- 使用Content Security Policy(CSP):CSP是一种安全策略,可以限制网页中可执行的脚本和加载的资源,从而减少XSS攻击的风险。通过在HTTP响应头中设置Content-Security-Policy字段,可以指定允许加载的资源和脚本的来源。例如:
Content-Security-Policy: default-src 'self';- 输入验证和过滤:在接收用户输入时,进行输入验证和过滤是防止XSS攻击的重要步骤。可以使用正则表达式或其他验证方法对用户输入进行验证,并过滤掉潜在的恶意代码。
总结起来,修复PHP输出字符串中的“网页中与脚本相关的HTML标记的不正确中和(基本XSS)”可以通过使用htmlspecialchars函数、HTMLPurifier库、Content Security Policy(CSP)以及输入验证和过滤等方法来实现。这些方法可以有效地防止XSS攻击,并提高应用程序的安全性。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云Web应用防火墙(WAF):https://cloud.tencent.com/product/waf
- 腾讯云安全组:https://cloud.tencent.com/product/cfw
- 腾讯云内容分发网络(CDN):https://cloud.tencent.com/product/cdn
- 腾讯云云原生应用引擎(TKE):https://cloud.tencent.com/product/tke
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
相关·内容
我继承了一个遗留应用程序,下面给出了一段代码。
private static void printKeywordCheckboxes(JspWriter out, ArrayList words, int type)
throws IOException {
LogbookKeyword thisWord;
Iterator iterWord = words.iterator();
while (iterWord.hasNext()) {
thisWord = (LogbookKeyword) iterWord.next();
out.print
浏览 2提问于2014-04-02得票数 1
5回答
我在下面的代码行中遇到了veracode问题
<input type = "hidden" name = "studentName" value = "<%=viewBean.getStudName()%>">
问题是在<%=viewBean.getStudName()%>上,报告的问题是“网页中与脚本相关的超文本标记语言(Basic XSS)的不正确中和。我尝试过cwe.mitre.org中给出的修复程序,但我无法正确应用它。有谁可以帮助解决这个问题吗?”
浏览 2提问于2014-10-30得票数 2
我在div元素中和这个div内部使用*ngFor(*ngFor=*ngFor),使用 img 元素。我试图像*ngFor=一样设置src,但是"46 error TypeError:_v.context.$implicit.getIsActiveIcon不是Object.eval的函数,因为updateRenderer的错误“。
<img class="is-active-image" [src]="radio.getIsActiveIcon()">
public getIsActiveIcon(): string {
if (th
浏览 0提问于2019-05-17得票数 1
回答已采纳
4回答
在执行XSS时,我们通常将JavaScript代码放在<script>标记之间。
我注意到HTML注入非常相似,因为您正在做几乎相同的事情,但是使用不同的标记(例如<h1>、<p>、<span>等)。
结果可能会大不相同。在进行XSS攻击时,您可能会使用alert()创建通常的弹出窗口,而在执行HTML注入时,您可能会在网页上添加一些花哨的文本。
浏览 0提问于2019-03-25得票数 0
回答已采纳
如何修复Web页面(基本XSS)中与脚本相关的HTML标记的不正确中和?
@Html.Raw(Model.FooterHtml)
浏览 10提问于2022-05-17得票数 0
2回答
我正在使用一个网页,我想知道如何允许人们在下面的文本框中输入HTML标记?
<asp:TextBox ID="txtTsCs"
runat="server"
tabindex="7"
placeholder="Terms & Conditions"
TextMode="MultiLine"
Width="210px"
Height=
浏览 1提问于2015-11-12得票数 2
1回答
安全原则之一是清理从客户端传递到服务器的字符串和变量。在普通PHP中,有一些防止XSS (跨站点脚本漏洞:
htmlspecialchars()
strip_tags()
防止XSS攻击的Drupal 8策略是什么?我如何清理客户端数据发布,以保护我的网站免受XSS攻击?
我记得Drupal 7有filter_xss()来防止XSS漏洞,但是针对XSS漏洞的Drupal 8策略是什么呢?
浏览 0提问于2016-07-14得票数 8
回答已采纳
我用HTMLPurifier来做简单的Tinymce WYSIWYG.If,我不使用htmlspecialchars,它会对XSS Attack开放吗?
$detail = $purifier->purify($detail);
为了净化textarea.If的数据,我使用了htmlspecialchars,它也剥离了所有的基本标记--这对于WYSIWYG editor.But来说并不友好--问题是,这也允许<script> tag。
如果我把conf setting改为
$config->set('ExtractStyleBlocks.1', true
浏览 3提问于2015-03-17得票数 1
2回答
我试图配置我的环境,以便只能通过HTTPs (保护它免受XSS攻击)访问身份验证cookie。我读了几篇文章,得出的结论是我应该将requireSSL属性设置为"true“
<authentication mode="Forms">
<forms name="someName" loginUrl="~/login" timeout="40" protection="All" slidingExpiration="true" defaultUrl="~/index
浏览 3提问于2013-11-13得票数 4
4回答
在rails应用程序中,用户可以创建事件并发布链接到外部事件站点的url。
如何清理urls以防止XSS链接?
提前谢谢你,
XSS示例,这是rails的sanitize方法不能防止的
@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>
浏览 3提问于2012-03-09得票数 8
我有一个XSS有效负载,当我在浏览器中粘贴URL并点击enter时,它成功地运行了javascript。这是URL:
localhost/path/to/file.jsp?aMessage=%3Cscript%3Ealert(%27XSSed%27)%3C/script%3E
其中aMessage显示在如下表中:
<table>
<tr>
<td>
<%= myObject.getString("aMessage") %>
</td>
</tr>
</ta
浏览 0提问于2017-07-06得票数 1
我不知道是否有可能阻止将JavaScript引用文件脚本注入到网页中,但我见过一些网站阻止您在注入的JavaScript引用文件脚本中运行函数,除非它是页面注册的JavaScript。例如,我能够在Google Mail中注入10个不同的带有不同前缀的JQuery脚本(具有不同的版本),但它们在阻止您执行某些JQuery命令方面做得很好。您可以执行一些操作,但只能获取数据(而不是设置数据)。例如,像$jquery171(‘html’)、.html()(它只是查看页面的源代码)。如何防止其他脚本在我的网页中运行,就像在Google Mail中一样?以前有人这么做过吗?
浏览 0提问于2012-04-24得票数 1
回答已采纳
我想为一些网站启用跨站点脚本。具体地说,我想提交一个网页表单到第三方网站,我已经为网页表单的响应设置了一个子iframe的目标iframe,现在我希望我的代码在主窗口中检索响应网页的内容。
我假设只需在Internet Explorer中禁用XSS筛选器即可完成上述操作,这样的假设正确吗?或者还需要一些其他的东西?另外,我如何在Firefox中启用跨站点脚本(对于相同的场景?)
浏览 3提问于2011-08-20得票数 1
回答已采纳
1回答
这感觉很简单,但我很难找到合适的搜索词来帮我找到我需要的.
我有一个要求,我的网页的一部分,以显示一个以前输入的笔记从一个用户。注释保存在数据库中,我目前正在使用Razor将其合并如下:
<span>@Model.UserNote</span>
很好,但我的感觉有点刺痛.如果用户认为他希望自己的笔记类似于"</span><script>...</script><span>",该怎么办?我知道如何使用参数来避免SQL Server中的注入攻击,但是是否有HTML等效的方法或其他方法来避免在HTML中保存或注入
浏览 1提问于2018-09-14得票数 0
回答已采纳
我正在花时间尝试修复veracode扫描缺陷CWE-80网页中与脚本相关的HTML标记的不正确中和(基本XSS)。
我所做的是对我的后端进行HTTP调用,以便打开一个包含下载文件的blob。
const xhr = new XMLHttpRequest();
xhr.open("GET", url, true);
xhr.responseType = "arraybuffer";
xhr.onreadystatechange = () => {
if (xhr.readyState === 4 &&
浏览 29提问于2019-11-29得票数 4
回答已采纳
2回答
使用流运算符和模板类
、、、
我正在创建一个矩阵类,并有以下声明。其目的是构建一个可伸缩的矩阵类,该类具有灵活的算法,可以在各种平台上运行-
template<typename T> class xss_matrix{
public:
xss_matrix(int i=0, int j=0):
max_row(i), max_col(j)
{
/*create space for the (0,0) entry*/
matrix[0]= (T*)(malloc(sizeof(T)));
};
~xss_matrix()
{
};
void add
浏览 4提问于2018-07-20得票数 0
回答已采纳
3回答
mysql数据库中的某些字段似乎包含换行符,因此如果我在这些字段上进行选择,一次SQL调用将返回类似以下内容的内容:
Life to be sure is nothing much to lose
But young men think it is and we were young
如果我想在网页上显示此字段时保留换行符,标准解决方案是编写一个脚本将'\n\r‘替换为br HTML标记,还是有更好的方法?
谢谢!
浏览 4提问于2009-12-11得票数 3
回答已采纳
我正在开发一个社交网站,希望只允许用户在他们的帖子中使用这些html标记和属性:
tags: <img>,<b>, <strong>, <blockquote>, <a>
attribs: 'src', 'alt', 'width', 'height', 'href','class'
在呈现的html中,任何其他标记都将被过滤掉。我想知道这套有限的设备也能打开一些XXS或其他的漏洞吗?
浏览 4提问于2015-09-02得票数 1
回答已采纳
我有一个JSP页面,我从一个属性文件中获取URL,如下所示- <spring:eval expression="@environment.getProperty('url.home')" var="homeUrl" /> 它的用法如下- <a target="_blank" href='${homeUrl}'>
<span>Home</span>
</a> 我收到了href='${homeUrl}'的veracode问题CWE-80
浏览 12提问于2019-05-21得票数 0
回答已采纳
我正在处理将JavaScript代码注入到现有DOM中的操作。
我已经看到了,如果我把脚本交给浏览器的DOM元素检查器
<script>alert("XSS test");</script>
脚本节点被添加到DOM中,但是它没有效果。我是说,没有显示警报盒。
另一方面,如果我使用JavaScript ()将脚本作为纯文本放在document.write控制台中,那么在本例中,代码会立即被解析和执行,并且警报框将按预期显示。
document.write('<script>alert("XSS test");&
浏览 10提问于2022-03-15得票数 1
回答已采纳
2回答
我正试图在受Cloudflare保护的网站上找到一个XSS。我使用Burp来查找允许使用哪些HTML标记。
📷
📷
只有<script/>标记是不允许的。我测试了多个有效载荷以传递WAF,这个负载没有被阻止:
<img src=ddd onerror=alert%26%230000000040"1")>
📷
有效载荷插入带有另一个阿拉伯文本的<li> HTML标记(列表)中。如何逃避或关闭它以触发警报错误?当我检查源代码时,我发现我的有效负载反映在以下四个位置:
📷
📷
📷
📷
当我读到关于<和>的文章时,它们是某种char过滤器
浏览 0提问于2021-11-29得票数 1
2回答
我想知道你对使用代码触发器开发.html网页网站有什么看法?使用CI开发静态站点/pages.html好吗?
我正在考虑开发安全的静态网站。我的网站经常受到垃圾邮件发送者的攻击(注入外部代码并重定向到其他一些网站)等,
我也想用CI实现更好的SEO。
你认为专家是怎么想的?
浏览 1提问于2010-12-04得票数 0
回答已采纳
如果我有一个用户在富文本编辑器(微型编辑器)中输入数据,并提交我存储到数据库中的数据,然后检索以在其他动态网页上显示,为什么我需要在这里编码。
是不是因为有人可能会将javascript粘贴到富文本编辑器中?还有其他原因吗?
浏览 1提问于2010-05-27得票数 5
回答已采纳
我想知道这个函数是否容易受到XSS的攻击。
var url = "google.com";
if (url.indexOf("http") != 0) {
url = "http://" + url;
}
$("<a/>").attr("href", url);
“url”是用户输入,<a/>将放在某个网页上。
我找不到在这个函数上执行javascript代码的方法。但在我实现这一点之前,最好有人能看看。
浏览 0提问于2017-05-23得票数 3
回答已采纳
更糟糕的是,我的测试使用Chrome77和Chromedriver 77通过(测试通过,数据加载到网页中,等等)。只有当我手动启动Chrome77浏览器并对其进行测试时,它才会失败。
下面是我的代码所做的基本工作:
// Get the query parameter "operation" from the URL
let match = new RegExp("[?&]operation=([^&]*)").exec(window.location.search);
let param = match && decodeURI
浏览 9提问于2019-09-12得票数 0
3回答
我正在使用PHP制作一个web应用程序,其中我有一个表单,可以将条目输入到MySQL数据库中,然后将其显示在另一个网页上。但问题是表单中的文本框倾向于接受HTML内容,这使得应用程序容易受到XSS攻击。在网页中显示HTML之前,如何将其转换为纯文本。
如果我没有提供任何信息,请随时提问。
---------------------------------------(UPDATE)
你们中的许多人都建议使用htmlspecialchars,但在这种情况下,如果我允许用户使用超级链接来引用其他页面,我该如何做呢?
浏览 0提问于2011-02-11得票数 1
回答已采纳
我有一个JSON对象,如下所示:
id:
text: <h1>This is my text</h1> <p> I want to include HTML
and reflect those tags on the page. </p>
我使用Angular2 2的HTTP_PROVIDER从JSON读取数据。
在我的HTML模板中,我在网页上显示JSON.dataString。如何反映网页上的HTML标签,目前这些标签都是以纯文本形式显示的。
<p>{{jsonObject.text}}</p>
浏览 11提问于2016-10-15得票数 0
回答已采纳
我有ASP.NET格式的web应用程序
在应用程序中,我有一个网页包含一个文本框来输入图书详细信息。
我希望用户在TextBox中输入<BR/>。
当文本框包含<BR/>字符串时,不会单击向服务器提交数据的按钮。我不希望用户在TextBox而不是<BR/>中输入< BR/ >行
有什么帮助吗?
浏览 2提问于2011-05-13得票数 1
回答已采纳
我试图建立一个XSS扫描仪使用Python的网站。该网站有小部件创建功能。该网站的源代码有每个小部件类型的模板。该网站为每个创建小部件的POST调用返回一个API响应,然后由javascript获取这些响应,用数据填充小部件模板。
一般XSS扫描器的工作:通常XSS扫描器通过在有效载荷/URL中发送特殊字符和javascript关键字(如>、<、script“等)来检测XSS,然后监视html响应以检查字符是否被编码或过滤。如果没有编码/过滤,则整个XSS向量被发送。如果它准确地反映在html响应中,那么页面上就会出现XSS漏洞。
问题陈述:我正在做的网站的问题是我得到了一个API
浏览 0提问于2016-07-14得票数 4
我正在创建一个网页,它将允许用户粘贴他们的代码,并提供一个唯一的URL来访问它。问题是我使用的是
mysql_real_escape_string($_POST['code'])
为了防止sql注入,但同时它会将斜杠添加到代码中,这意味着当稍后显示代码时,它会被损坏(到处都是斜杠)。
有没有办法在再次显示代码时“取消转义”?
抱歉,如果这似乎不清楚或明显,这是我的第一个项目使用php。
浏览 0提问于2012-07-26得票数 1
回答已采纳
2回答
我已经编写了一个微模板实用程序,它使用innerHTML根据用户输入(纯文本字符串或html字符串)在网页中注入html片段。
我主要关心的是恶意脚本注入的风险。脚本可以通过script标签注入,也可以在内联事件(例如img onload、div onmouseover )中注入。
有没有一种方法可以清理html字符串以防止这种注入?另外,有没有其他我应该知道的脚本注入方法?
浏览 7提问于2012-06-05得票数 1
回答已采纳
这是我今天遇到的最令人困惑的部分,我使用的是代码点火器,但它的xss过滤器似乎不能像我们预期的那样正常工作,所以我们尝试使用here将数据保存到数据库中,但是我在某个地方读到,我们不应该更改/编辑用户输入的数据到数据库中,我们应该在浏览器上输出数据时总是这样做,所以在这里我完全搞不懂如何才是最安全和最好的方式来接收用户输入、保存在数据库中并使用php输出数据。
浏览 13提问于2015-05-09得票数 0
回答已采纳
在升级后启动cassandra时出现此错误。有什么想法吗?
# cassandra -f
xss = -ea -javaagent:/usr/share/cassandra/lib/jamm-0.2.5.jar -XX:+UseThreadPriorities
-XX:ThreadPriorityPolicy=42 -Xms1920M -Xmx1920M -Xmn200M -XX:+HeapDumpOnOutOfMemoryError -Xss180k
The stack size specified is too small, Specify at least 228k
Error:
浏览 0提问于2014-03-18得票数 16
回答已采纳
我有一个示例url:http://www.foo.bar/index.php?ids=111
我通过http://www.foo.bar/index.php?ids="><SCrIpT>alert('XSS')</ScRiPt>发现了它的一个漏洞
与普通url和xss url基本不同的是,浏览器中显示了一个警告框。但是,当使用python时,我们如何才能发现或检测哪个url是漏洞呢?
我已经尝试过python请求库:
import requests
xss_url = 'http://www.foo.bar/index.php?i
浏览 3提问于2014-10-06得票数 0
可以在我的浏览器窗口中正确地查看。
但是,当我尝试将其用作网页中的图像(在我的活动站点和JSFiddle中尝试过此操作)时,它将不会显示:
<img src="http://54.186.131.77/Style/Resources/SVG/logo.svg"/>
每次,我的服务器都声称该文件已被成功地服务,但它并没有呈现。
有什么问题?
如果您认为我的问题可能涉及到我的服务方法/ MIME类型,那么我将.svg作为text/xml来对待,不管我在开发这个服务器时使用了什么图表。
浏览 2提问于2015-07-31得票数 6
回答已采纳
在我的服务器上运行主厨客户机时,由于区域设置变量,我在重新启动c++二进制文件时遇到了问题。
在推出主厨-客户之前,我有我的地点:
LANG=POSIX
LANGUAGE=
LC_CTYPE="POSIX"
LC_NUMERIC="POSIX"
LC_TIME="POSIX"
LC_COLLATE="POSIX"
LC_MONETARY="POSIX"
LC_MESSAGES="POSIX"
LC_PAPER="POSIX"
LC_NAME="POSIX"
LC_AD
浏览 1提问于2015-11-18得票数 0
回答已采纳
1回答
我有个问题。
我不知道如何在eclipse的javascript项目中包含一些源代码。当我打开我的网页时,显示了这个错误。
> GET myImage.jpg 404 (Not Found)
所以有人知道如何解决这个问题?
致以最好的问候,安托万
浏览 0提问于2014-12-22得票数 0
我正在开发一个新的网站(ASP.NET,网页表单,C#),需要包含对Javascript注入攻击的保护。有没有人有任何好的链接如何实现一个网站的安全,以抵御这些类型的攻击?
谢谢
浏览 4提问于2012-02-06得票数 1
1回答
我正在尝试学习web安全漏洞的基础知识。
我找到了一个网站,在重置密码时,你会在电子邮件中得到一个带有标记的链接,当你点击这个链接时,网页就会打开,网址就会在表单中反映出来。就像这样:
密码重置url:https://target.com/token=q123sefgetrt3dfe
这是如何反映出来的:
<form action="https://target.com/toekn=q123sefgetrt3dfe" method="post">
在此基础上,我试图找出这是否可以导致反射XSS。所以在url里我尝试了这样的方法:
https://ta
浏览 0提问于2020-06-20得票数 0
我已经有几年没和摩登安全打交道了.
简单地安装带有默认规则的包会提供足够的验证来防止任何类型的XSS (好的,让我们诚实地说--我们希望是“大多数”)类型的XSS吗?我的假设是.即使我们只考虑I型反射XSS。
那核心规则集呢?这就够防伪了吗?
如果没有,那么缺少什么样的规则,我应该添加/自定义什么,可能是在每页的基础上?(呃.)
问题的最后一部分,AJAX应用程序怎么办?ModSecurity (特别是CRS )如何处理AJAX请求而不阻塞它们?我认为,希望它能够成功地分别解析AJAX并验证每个参数,这对我们来说是太大的希望了……
为了澄清,修复代码以删除所有XSS,包括输入验证,特别是上下
浏览 0提问于2011-04-10得票数 7
回答已采纳
3回答
我正在使用jQuery来建立一个显示电子邮件的网页。这些电子邮件是从REST服务读取的,可以是纯文本和/或html格式。
到目前为止,我测试过的所有html格式的邮件都只有正文内容--也就是说,没有<html>、<head>或<body>。今天我收到一封html格式的邮件,里面有一整篇文档。head和body标签被过滤掉(大概是由浏览器过滤掉的),但我的问题是邮件使用的样式是从发送者的网站获取的。
这引发了一系列关于安全性等的问题。我的应用程序应该允许这样的链接吗?我是否应该提取link和script标记并将它们插入到我的页面head中
是否有其他类似于if
浏览 2提问于2015-07-22得票数 2
1回答
从另一个站点更改页面
、、、
抱歉,这个模糊的问号--不知道怎么说。
我已经建立了一个PHP引擎来解析网页和提取电话号码,地址等。
这将被客户端用来填充地址簿,只需输入一个新的联系人web地址。
我遇到的问题是易用性:
目前,脚本只是将每个项目(固定电话号码、传真等)添加到不同的列表框中,用户选择了正确的列表框--从可用性的角度来看,这是一项艰苦的工作(您如何知道哪个是正确的联系人号码而不查看站点)
所以我的问题(终于!)
如何实现
在别人的网站(我没有问题写这个功能)。
为了清晰起见,**我想在我的站点上显示某人的站点(例如他们的联系人页面),但是我想突出显示我找到的项目(例如,在我的php脚本找到的电话号码周围添加一
浏览 3提问于2014-01-04得票数 0
回答已采纳
1回答
从java网页中提取图像
、、、
我刚刚开始做一个内容提取项目。首先,我试图在一个网页中的图像URL。在某些情况下,"img“的"src”属性具有相对URL。但我需要得到完整的网址。
我正在寻找一些库来实现这一点,并认为将是有用的。还有其他库可以很容易地做到这一点吗?
浏览 3提问于2013-02-19得票数 0
1回答
码点火器中的XSS滤波
、、、、
我只想问一问,因为我目前在编码器方面是新的,根据XSS过滤上显示的文档,它说:
By default it does not run globally since it requires a bit of processing overhead,
and since you may not need it in all cases.
这到底是什么意思?因为我通过config.php全局设置xss过滤:
$config['global_xss_filtering'] = TRUE;
文档对于做上面的工作而不是这样做的缺点意味着什么?
$this->security->
浏览 1提问于2013-12-04得票数 0
我们有一些旧的遗留HTML代码,我们希望将它们包含在内容div中的较新的XHTML过渡网页中。我的问题是,在将页面的DOCTYPE设置为"-//W3C//DTD XHTML1.0过渡//EN“的情况下,将标准XHTML与HTML4.0混合发出是否存在任何已知问题?
我已经在一些浏览器(甚至在IE10上)上进行了测试,结果看起来很好。但是,这里面可能隐藏着什么潜在的问题吗?当然,没有人知道未来的浏览器会做什么,但总体上是什么想法呢?
浏览 0提问于2013-04-02得票数 1
我正在尝试开发一些应用程序,并使用checkmarx扫描我的代码,并在下面的方法中得到了- LDAP注入下的问题。
Update(request.getparameter("userID"))
我们调用此方法并使用request.getparameter()获取相应的值,checkmarx在request.getparameter("userID")中显示问题,
问题描述是“该元素的值随后在代码中流动,而不经过适当的净化或验证,并最终在方法中的LDAP查询中使用。”
所以下面是我尝试的方法之一
String userID = request.getparamet
浏览 3提问于2017-01-02得票数 1
为了了解安全性,我在本地主机上建立了一个最简单的网站,由apache服务器服务的一个html页面组成。我首先开始尝试并追加将被执行到URL末尾的JS脚本:
/index.html?message=<script>alert('XSS');</script>
浏览器将其编码为:
/index.html?message=%3Cscript%3Ealert(%27XSS%27);%3C/script%3E
我对这种攻击向量的工作方式的理解是,攻击者将一个类似的URL发送给受害者,->受害者点击它,->脚本就会被执行(不确定它应该执行的确切时间?)
浏览 0提问于2014-09-20得票数 7
回答已采纳
3回答
我想为每个网页创建一个具有通用页眉和页脚的网站,目前正在使用提供的答案。
不过,我有一个网站,其树形图类似于:
- index.html
- header.html
- footer.html
- folder
- info.html
在我的页眉和页脚文件中,有多个(相对的)链接,例如到图像源、其他页面等,这意味着当它们在index.html中工作时,如果我试图将它加载到info.html中,链接就会中断。
是否有任何方法可以更改所有链接以查看一个文件夹,等等,或者我是否必须使用javascript来更改每个引用图像的src属性?
浏览 5提问于2020-07-04得票数 2
回答已采纳
2回答
我正在使用JSF。我已经使用了RichFaces的'RichEditor‘。我将这个编辑器中的内容存储到一个bean中,并显示到一个JSF表单中。但是它在JSF表单上显示HTML标记。为此,我使用了JSoup HTML Parser。但是它完全将富编辑器的书面内容转换为简单的文本,删除了所有格式,如粗体、使用的按钮、换行符等。我需要在jSF表单中显示编辑器。
请帮帮我。
富编辑器的代码
<f:param name="theme_advanced_buttons1" value="
newdocument,
浏览 2提问于2011-04-01得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
