腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
如果html只在客户端生成,它是否足以减轻所有
xss
?
、
、
如果站点中的所有html都是在客户端生成的(属性、urls、样式都将在javascript中连接,并设置为innerHTML),那么它是否仅能完成html转义以减轻这里提到的所有
xss
攻击
?https://www.owasp.org/index.
php
/
XSS
_(交叉_站点_(脚本编写)_
预防
_作弊_板材
浏览 0
提问于2014-03-01
得票数 0
1
回答
从客户端到服务器发送用户数据的最安全方式是什么?
、
、
、
这是通过执行准备好的sql语句的
php
脚本完成的。如果用户存在,那么脚本将返回用户数据,如果用户不存在,我将向另一个
php
脚本发送另一个请求,以便将我从身份验证中获得的所有细节注册到用户。我使用一个10位数字的id和用户的电子邮件登录用户,请您解释一下,如果
攻击
者知道该邮件是否可以登录到另一个用户帐户,请解释一下。
攻击
者还可能尝试多次,因为使用电子邮件和id作为参数在一个基本的json请求中签名。我可以在应用程序中提供保护措施,防止用户尝试超过几次,但我认为
攻击
者尽可能多尝试的能力是一种风险,有什么建议可
浏览 0
提问于2016-02-17
得票数 -2
1
回答
基于Flex/Flash的应用程序容易受到
XSS
攻击
吗?发生此类
攻击
的各种方式有哪些?
、
、
、
基于Flex/Flash的应用程序是否容易受到
XSS
攻击
,
攻击
可能发生的不同方式以及如何
预防
/检测此类
攻击
。
浏览 0
提问于2009-09-26
得票数 4
回答已采纳
2
回答
SameSite cookie属性与同步器令牌模式
、
、
、
、
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF
攻击
:https://www.owasp.org/index.
php
/SameSite。https://www.owasp.org/index.
php
/Cross-Site_请求_伪造_(CSRF)_
预防
_作弊_Sheet#Synchronizer_令牌_模式如果我们只在
浏览 0
提问于2019-01-13
得票数 2
回答已采纳
1
回答
误报-服务器端对
XSS
的保护
、
、
、
我读到了
XSS
攻击
及其在服务器端的
预防
机制。似乎只有通过在服务器端转义特殊字符(使用一些
PHP
函数,如htmlspecialchars() )来净化输入。我读过这个这里。或者服务器端对
XSS
有更复杂的保护?
浏览 0
提问于2014-03-04
得票数 0
1
回答
如何打破内容安全策略?
、
、
、
、
内容安全策略似乎真的很健壮,但我不认为它是完美的(我看到有消息称它是对
XSS
的“部分”
预防
)。我的问题是:它不能防止哪些类型的
XSS
攻击
?
浏览 0
提问于2016-03-05
得票数 0
1
回答
安全- CSRF
预防
没有
XSS
预防
无用吗?
、
、
、
、
我读过使用localStorage vs cookie的各种利弊,以及第一个选项如何打开
XSS
漏洞,而第二个选项易受CSRF
攻击
。我还理解使用HttpOnly可以阻止javascript对cookie的访问,因此它们应该对
XSS
攻击
更加敏感。除了用户交互之外,所有CSRF
预防
技术都是易受
攻击
的,还是基于令牌的技术是可以接受的?如果它们是无效的,而且由于CSRF
预防
依赖于
XSS
预防
,这难道不意味着在cookies中存储JWT比在loca
浏览 0
提问于2019-08-16
得票数 2
2
回答
XSS
攻击
-净化输入vs拒绝
最近,人们对
XSS
及其
预防
方法产生了兴趣。大多数
XSS
预防
技术都侧重于清理输入中的无效字符并使用它们。这就提出了一个问题: 当很明显其目的确实是
XSS
攻击
时,为什么我们要尝试剥离无效字符,然后继续使用输入,而不是直接拒绝输入并将使用发送到错误页面?
浏览 0
提问于2012-03-23
得票数 1
回答已采纳
1
回答
任何WYSIWYG编辑器与
XSS
攻击
预防
?
、
很容易在这种编辑器中粘贴javascript,使其成为
XSS
攻击
的靶子。欢迎提出解决方案和建议。
浏览 4
提问于2009-08-07
得票数 1
3
回答
IE中的
XSS
-绕过的方法?
、
、
、
既然IE8有一个
XSS
过滤器,那么真的没有办法使用这个浏览器来利用
XSS
漏洞吗?例如,cookie窃取程序不再对我的网站构成威胁? (如果你认为这是不正确的,你可能在过滤器中有一个缺陷,我想知道)
浏览 2
提问于2011-05-11
得票数 2
回答已采纳
1
回答
Meteor.js和CSRF/
XSS
攻击
、
、
、
Meteor.js框架是否已经处理了针对CSRF和
XSS
攻击
的措施?如果没有,我们还必须考虑哪些其他
预防
措施?
浏览 4
提问于2014-02-16
得票数 11
1
回答
API方面是否需要HTML验证和
XSS
验证?
、
、
、
、
因此,作为API提供程序,我们需要采取
预防
措施来避免DOM注入或Crosstie脚本(存储的
XSS
攻击
、反射
XSS
攻击
、基于DOM的
XSS
攻击
).When,我们做了一些研究,所有这些问题都是在浏览器呈现时触发的
浏览 4
提问于2022-11-10
得票数 0
1
回答
ASP.Net Request.QueryString在JavaScript中的使用安全吗?
、
、
<%=Request.QueryString%>";这段代码是安全的还是可以被
XSS
攻击
利用? 如何
预防
?
浏览 4
提问于2013-03-12
得票数 3
回答已采纳
4
回答
XSS
中的输入复选框/无线电/选择是否易受
攻击
?
、
、
如果我提交了有固定内容的输入复选框或收音机或select,它是否会受到
XSS
的
攻击
?如果是,怎么做?如何
预防
?
浏览 0
提问于2014-12-09
得票数 1
回答已采纳
1
回答
新的grails 2.3.7应用程序忽略了<%= %>
、
、
我正在编写一个新的grails 2.3.7应用程序,并且我正在尝试使用<%= %>来避免对域类字段进行html编码。举个例子只是将其呈现为而不是像预期的那样作为二级标头。
浏览 1
提问于2014-06-12
得票数 0
1
回答
使用剃刀在html页眉中输出元标记
、
、
、
我有一个剃须刀助手,它是用来动态创建一个元标签的,但是我在页面的源代码中看到的都是asci字符。页面源应该阅读<meta name='robots' content='noindex' />,非常感谢所有的回复和建议。谢谢!@helper WriteMetaRobots(DynamicNode siteRoot)var robotValue = "noindex"; var robots = !string.IsNullOrEmpty(CurrentModel.GetPropertyValue("metaRob
浏览 1
提问于2018-03-26
得票数 0
回答已采纳
1
回答
绕过URL编码(客户端)来执行
XSS
、
、
、
、
我正在学习
XSS
攻击
和
预防
方法。现在,我正在了解
XSS
(DOM)。 这并没有给我任何积极的结果www.
xss
/co
浏览 5
提问于2017-11-07
得票数 1
1
回答
与在线支付相关的服务器端重定向不起作用
、
、
与在线支付相关的重定向不起作用。当我在Ajax.It中发送请求时,不能被重定向头部。请帮帮忙
浏览 20
提问于2020-11-15
得票数 1
1
回答
如何净化getCookies()、getRequestURL()在HttpServletRequest中的返回值?
、
、
、
为了防止任何
XSS
攻击
,我在其中重写getParameter/ getParametervalues方法。有人能告诉我重新定义以下方法是否是个好主意吗?getRequestURL(),getRequestURI(),getQueryString(),getCookies()方法引入
XSS
预防
逻辑。如果我让我的getcookies()方法未经消毒,它会以何种方式使我的页面易受
攻击
?
浏览 4
提问于2012-02-14
得票数 2
1
回答
如何在浏览器中安全地存储JWT?
、
、
、
、
但是,我不确定如何避免
XSS
和XSRF
攻击
。 安全地存储JWT并遵循
XSS
和XSRF
预防
遍历的最佳方法是什么? 提前感谢
浏览 29
提问于2020-12-18
得票数 1
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
XSS攻击入门
Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF
什么是 XSS 攻击,XSS有几种类型?
XSS攻击——每周小讲堂
Web安全测试,Xss攻击
热门
标签
更多标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
活动推荐
运营活动
广告
关闭
领券