xss

在 Freemarker 模板中，我们可以使用转义指令自动对包含块内的所有插值应用转义： <#escape x as x?html> <#-- name is escaped as html --> Hallo, ${name} </#escape> 有没有办法以编程方式实现类似的效果，定义应用于模板中所有插值的默认转义，包括那些外部转义指令？ ... »

我们有一个应用程序，它使用 XSLT 格式化 XML 数据以显示为 XHTML。 系统能够处理任意 XML 模式，因此系统用户需要上传 Schema 和 XSLT。显然，这是一项只允许管理员级别用户执行的任务，但它也是一个相当大的靶心，因此我正在努力使其更安全。 我应该提到我们正在使用 Saxon 9.0 B 是否有任何标准方法来清理用户提供的 XSLT？到目前为止，我已经确定了三个可能的... »

我正在开发一个客户将使用的网站，方法是将其嵌入到他们网站的 iframe 中。我想让他们能够自定义内容的样式，以便他们可以使其适合他们网站的样式。 我的基本想法是让他们给我一个 CSS 文件的 URL，我应该将其包含在我提供给他们的页面中以填充 iframe。据我所知这是安全的，但我对 CSS 不是特别熟悉（尤其是较新的版本），所以我想验证一下。 是否有人可以构建一个 CSS 文件，让他们将代... »

有很多网络应用程序，如 Facebook、Google、Slack、Quora 等，它们会在您每次访问时重新登录，但是如果它们使用 cookie 或浏览器的本地存储来存储令牌或登录信息，这些可能被第三方脚本劫持。 Web 应用程序如何实现对此的保护？... »

我有一个接受来自 PHP 用户的 URL 的表单。 我应该允许或禁止哪些字符？目前我使用 $input= preg_replace("/[^a-zA-Z0-9-\?:#.()\,/\&\'\\"]/", "", $string); $input=substr($input,0,255); 所以，它被修剪为 255 个字符，并且只能包含字母、数字和 ? - _ : # ( ) , & ' "... »

我想在浏览器中显示一个带有 HTML 执行（格式化）的文本，这样它就很容易阅读，但不需要任何 JavaScript 执行。这是一个很大的文本，很难在 HTML 标记之间阅读。所以，执行 HTML 而不是 JavaScript。 我做了什么：我将此文本加载到 <iframe> 中，这样我就可以完全控制，我尝试像这样显示文本： <script> throw new Erro... »

我正在使用 CXF 处理 XSS 拦截器任务。根据项目依赖项，我不能使用 Jersey。而且我看不到任何使用拦截器或过滤器从请求中更改表单数据（表单参数）的方法。 我从文档中发现我们无法使用 cxf 修改请求参数（不包括查询参数），尽管 jersey 提供了一种修改这些参数的方法。 但在拦截器中，我也看不到任何修改表单参数的方法。我可以看到很多修改标头/查询参数的示例。但看不到任何修改请求参数的... »

我很喜欢这个网站 https://securityheaders.com/?q=localhost&followRedirects=on 我想用它来扫描我的本地项目 我好像做不到 有没有办法检查尚未上线的本地项目的安全标头？... »

给出以下简单代码： function loadthis ($var) { $id = $this->model->get_id($var); } 问题：是否可以通过 URI 变量传递任何恶意代码？ 场景： www.mydomain.com/mycontroller/loadthis/dosomethingreallybadhere 额外信息： 我在模型... »

我想在我的 HTML Purifier 过滤器中允许图像。不幸的是，它们仍在被过滤。这段代码有什么问题？ $config->set('HTML.Doctype', 'XHTML 1.0 Transitional'); $config->set('URI.DisableExternalResources', false); $config->set('URI.DisableRes... »

我有一个 Angular2 应用。它在 ASP.NET 5 (Core) 中运行。 它对工作正常的控制器进行 Http 调用。 但现在我需要建立跨站脚本投影。 如何在每个 Http 请求上生成一个新令牌，然后在 Angular2 应用程序中执行 AntiForgeryToken 检查？ 注意：我在 Angular 中的数据表单不是从 MVC 视图生成的，而是完全用 Angular2 编写的... »

我在index.html 中设置了以下meta 标记，它简化了本地开发，但也将部署在生产代码中： <meta http-equiv="Content-Security-Policy" content="default-src 'self' localhost:* ws://localhost:*;"> 是否有任何已知的方法可以像这样添加localhost 允许任何类型的跨站点脚本... »

使用IsValid() 验证电子邮件地址或 URL 格式是否可以防止 XSS？指定其他格式时是否否定XSS？... »

我有一个将 HTML 传递给服务器的富文本编辑器。然后将该 HTML 显示给其他用户。我想确保该 HTML 中没有 JavaScript。有没有办法做到这一点？ 另外，如果有帮助，我正在使用 ASP.NET。 ... »

想象一下你有一个大的合作。现在有人发现了只能通过自己的站点工作的 CSRF 漏洞（因为站点是通过检查 Referer-Header 来保护的，没有 CSRF 令牌）。这可以执行关键操作，但前提是请求来自您的站点。这意味着小型 XSS 攻击可以通过此漏洞执行更大的操作。您会将此视为严重漏洞吗？是否应将其视为 CSRF 攻击？ ... »

我需要用一些HTML标签保存一些数据，所以我不能对所有文本使用strip_tags，也不能使用htmlentities，因为文本必须通过标签修改。为了保护其他用户免受 XSS 攻击，我必须从标签内部删除所有 JavaScript。 最好的方法是什么？ ... »

我对使用 ASP.NET MVC (5.2.3) 剃须刀引擎呈现但也使用 AngularJS (1.7.4) 的网页有疑问。问题是 AngularJS 正在评估应该呈现为纯文本的内容。 因此，例如，在我们的模型中，我们有一个属性 Name，当其值为 {{1 + 1}} 时，将显示为 2，即正在评估 AngularJS 表达式： （已编辑的）cshtml 页面如下所示： @model Mo... »

我在 expressjs 3 中使用 socket.io。我想用 express-validator 清理传入的消息。我有这个代码： var expressValidator = require('express-validator') , sanitize = require('express-validator').sanitize; socket.on('chat', function ... »

我的文件系统中有 HTML 和 JavaScript 文件，用于正在开发的移动应用程序。当应用程序部署到移动设备时，这些文件将托管在本地文件系统上，其中 XSS 来自 file://is not an issue。此应用程序的一个重要部分是将 XHR POST 请求发送到 RESTful API。 如果发出请求的文件托管在本地文件系统上而不是部署到网络服务器上，那么 XSS 似乎不应该是浏览器的... »

Castle Project 功能丰富，包括一些很棒的子项目，使用它进行开发是一种乐趣。 我的团队几乎准备好交付定制的EAM，我们正在完善我们的系统。我们尝试了一些基本的 XSS 攻击并猜测：它们都奏效了。 虽然它会在 Intranet 环境中运行，但我们不希望用户意外破坏整个系统，我们正在研究解决 XSS 问题的解决方案。 NVelocity 默认不会转义任何东西，所以这段代码： ${e... »