2回答
我正在构建一个Backbone.js应用程序,我想知道在使用Backbone.js时分别处理XSS的最佳方法是什么。"><script>alert('xss');</script>
当使用REST服务器作为存储后端时,这个XSS<
浏览 9提问于2012-09-25得票数 26
回答已采纳
1回答
我正在使用Node.js和Underscore.js。我无法确定是在服务器端还是客户端转义JSON数据。因为下划线不是用语法<%= someValue %>自动转义内插的值,而是使用<%- someValue %>,这与EJS形成了对比,可能会造成混淆。有一个 on GitHub,也有一个自动转义版本的 .但问题背后的一条评论说:
那么,有什么建议认为什么时候对AJAX数据执行HTML转义</em
浏览 3提问于2012-07-01得票数 4
回答已采纳
1回答
Context是一个node express api,我在我的主server.js文件上使用了xss-clean: const xss = require('xss-clean');
app.use(xss()); 问题:我想保存富文本,但它在清理过程中被破坏了。用编辑器保存的文本包含html标记,在保存到数据库时会对其进行转义,当通过get请求将其推回到前端时,文本将使用转义
浏览 22提问于2021-09-10得票数 1
回答已采纳
1回答
在中,它说不可信的数据不能安全地放入.setinterval JS函数中。即使转义/编码,XSS仍然是可能的。但如果我有这样的东西如果我JS编码了"UNTRUSTED_DATA",那么XSS又怎么可能呢?
浏览 5提问于2015-06-08得票数 5
回答已采纳
1回答
我使用该表单插入以下内容:<script type="text/javascript">alert("XSS")</script>2) e滤波器:
html风味输出:<b>Some valid HTML text</b> <s
浏览 4提问于2015-06-14得票数 2
回答已采纳
我有一个JavaScript应用程序,其中我使用客户端模板(underscore.js、Backbone.js)。是,在输出中,我们有:我们有恰好是"<s
浏览 2提问于2012-02-23得票数 9
回答已采纳
1回答
我真的很困惑基于dom的XSS攻击。我只想保护在我的JS应用程序中被输出到dom (使用innerHTML)的任何服务器检索的数据。转义HTML实体或转义引号以获得安全属性,等等。然后我读到了基于dom的XSS,我不知道它和仅仅转义HTMl有什么不同。在这个表中,您可以看到一个基于dom的XSS示例:
<script>document.write("UNTRUSTED INPUT: " + document.location.hash);
浏览 0提问于2016-05-10得票数 2
我有这样的和弦This is amazing grace This is unfailing love That You would take my place That You would bear my cross const boldLyrics = lyrics?.replace(
/(\b([CDEFGAB](?:b|bb)*(?:#|##|sus|maj|min|m|aug)*[\d\/]*(?:[CDEFGAB](?:b|bb)*(?:#|##|sus|maj|min|m|au
浏览 5提问于2021-08-31得票数 0
回答已采纳
我正在使用Burp套件进行一些测试,我注意到它们包括以下字符串:作为XSS有效负载的攻击字符串。
如何使用此字符串执行XSS攻击?
浏览 0提问于2013-07-30得票数 9
回答已采纳
2回答
-----------------------------------------------------因此,提出了简单而
浏览 2提问于2013-01-25得票数 6
回答已采纳
2回答
我想知道我是否可以通过只用<和>替换<和>来保护我的网站免受XSS攻击,或者我错过了什么。 <?php echo '<div>' . $escaped . '</div>' ?
浏览 1提问于2014-09-29得票数 0
1回答
我一直在审查discourse.js的源代码,这是一个用Ember/Rails/Postgres编写的讨论论坛。我正在研究避免这类应用程序中的XSS漏洞的最佳实践。我注意到,语篇使用了“熟”字符串的概念,这是部分预转义字符串,用于类似于帖子正文的内容,然后使用三重胡子({{{}}})在Ember中显示它们。但是,在其他情况下,例如post标题,语篇发送和接收原始的、未转义的字符串,如"This & the tag",并使用双胡子{{{}})显示它们。烹饪仅仅是处理后处理Mar
浏览 1提问于2014-04-21得票数 1
回答已采纳
1回答
根据Jinja2文档,它提供:根据Flask文档,它通过配置Jinja2自动转义所有值来防止XSS攻击,除非另有明确说明。那么Jinja2会自己做些什么来防止XSS攻击吗?
浏览 1提问于2016-05-11得票数 1
2回答
我非常关注XSS和网站的安全性。 我已经阅读了一些与XSS相关的参考资料,并防止它们使用转义、编码等。 所以我的问题是,Django会自动转义每个输入数据并自动或显式地处理XSS攻击吗?我们需要实现代码来防止XSS攻击吗? 我们如何在Django中防止各种XSS攻击?
浏览 36提问于2019-10-09得票数 3
回答已采纳
2回答
我正在探索一个具有反射XSS的网站,或者至少是一个反射向量,但问题是:您不在标签中,所以您必须创建自己的标签。例如,在默认情况下,Express.js具有此功能。这样的实现在XSS中安全吗?
浏览 0提问于2013-12-11得票数 6
回答已采纳
2回答
我正试图在受Cloudflare保护的网站上找到一个XSS。我使用Burp来查找允许使用哪些HTML标记。📷
只有<script/>标记是不允许的。
浏览 0提问于2021-11-29得票数 1
1回答
跨站点脚本问题
、、、、
我想用我们的代码来防止XSS,问题是它可能同时需要JS和html转义,而且可能有点棘手。所以在这种情况下我应该做什么,我知道简单的HTML编码可能无法工作,因为攻击者可能传递unicode转义值,并且当JS解析器清除它时,它可能被转储到文档中。那么正确的方法是什么,
我应该先进行JS转义,然后在document.getElementbyID进行html转义之前执行吗?那该怎么做?
浏览 3提问于2013-09-23得票数 0
回答已采纳
我将要构建我的第一个移动web应用程序,我发现Android2.3的浏览器并没有实现httponly。
浏览 1提问于2012-03-07得票数 0
回答已采纳
我试图自动将html转义字符串转到json对象中。simplejson有,它应该做到这一点。除了不理解这里的差异之外,我问题的核心是simplejson方法允许XSS发生,但是如果我进入它的html编码器并将替换调用更改为cgi.escape的调用,则没有XSS。给定此输入{'label': 'XSS HERE"><script>alert(1)</script>'}
下面是带有simplejson.encoder.JSONEncod
浏览 4提问于2014-06-27得票数 4
2回答
XSS字符转义的进一步解释
、、、、
因此,我注意到XSS主要依靠未转义的角度大括号来插入html标记。我这里有个密码:<html lang = 'en'> <meta charset = 'utf-8' /></body>
<script src="
浏览 1提问于2014-07-23得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
