用户可以将丰富的html文本提交给服务器,如p标记、div标记等。为了保持格式,服务器将这些标记直接写回用户的浏览器(无需html编码)。因此,我必须做一个潜在的危险脚本检查,以避免XSS。任何JavaScript代码都应该是危险的,是不允许的。那么,如何检测它们或者其他更好的解决方案呢?危险例子1:危险例子2:
<script src="..
浏览 2提问于2016-12-29得票数 2
回答已采纳
3回答
我们有一些代码可以从HTML中删除“危险”的属性和标记。我注意到style是“危险”属性的列表之一。该属性的风险可能是什么?
浏览 2提问于2010-08-21得票数 5
回答已采纳
3回答
我是webdev的noobie,我正在尝试获取一些信息,这些代码在没有数据验证的情况下对服务器安全有多危险<input type="reset" onclick="test.submit()" value="test"&
浏览 0提问于2013-03-01得票数 0
回答已采纳
我需要设置为在"“(空)或”选择QB“类=‘危险’中包含文本的每个<td>。这是我的jQuery代码: if ($(this).html() == "" || $(QB") $(this).addClass("danger"); }
浏览 4提问于2013-11-15得票数 3
回答已采纳
1回答
这些都是用HTML创建的,然后存储在数据库中。为了在应用程序中显示它们,我使用div来加载dangerouslySetInnerHTML中的HTML。<div dangerouslySetInnerHTML={{__html: this.props.page.content}} />
即使通过这个方法可以很好地工作,dangerouslySetInnerHTML建议更多地关注这种情况,但是我想知道如何保持足够的灵活性来加载HTML并使其出现在web应用程序中。我相信“危险”这个词解决
浏览 0提问于2018-11-23得票数 3
回答已采纳
3回答
c++危险铸造代码
、、、、
我很确定这是危险代码。不过,我想看看是否有人知道到底会出什么问题。(潜在的)危险代码如下: B *b = new B();
// dangerous part?如果Base没有添加虚拟析构函数,并且由于Test没有添加任何内容,我认为这段代码实际上是可以的。但是,虚拟析构函数的添加让我担心类型信息可能会被添加到类中。最后,我可以说这段代码在我的计算机/编译器(clang)上工作得很好,尽管这当然不能保证它不会对内存做坏事,
浏览 1提问于2012-12-10得票数 0
回答已采纳
2回答
现在,在阅读了上述文章之后,我想知道:是否普遍不鼓励导出模板代码。class DLLEXPORT_MACRO AClasspublic: ...假设这段代码是通过虽然此代码在引用其他MSVC8 7.1代码时不会产生任何错误,但据说在MSVC8代码中引用此DLL会在运行时崩溃(内存对齐问题?)。
因为这显然是处理导出模板代码问题的“最佳实践”吗?
浏览 3提问于2009-10-16得票数 1
回答已采纳
从文档中,我认为Html(value)对HTML和Javascript来说是足够的转义。但是这段代码允许HTML标记传递而不需要转义。<ul>@nodes.map{ n =></ul>
在呈现视图之前,请给出一段代码,使能够充分地避免、HTML和Javascript (以及所有其他危险的事
浏览 2提问于2012-10-24得票数 1
我的HTML中有一个div我需要在鼠标转向上加一个等级的“警告-危险”所以我使用了以下代码 {
$(this).addClass("alert-danger它将类添
浏览 2提问于2014-06-27得票数 3
回答已采纳
3回答
process.php articles/ index.php}
这是危险的代码吗?我做正则表达式的原因是为了检查GET不包含。或者/可以用来做../,因此实际上可以运行服务器上的任何文件...
浏览 2提问于2012-10-25得票数 1
回答已采纳
在使用准备好的语句之前,我使用过滤器来清理字符串问题是,我来自立陶宛,这里有一些非常奇怪的字母,比如ąčęėįšųū,我需要那些未经过滤的,我找不到另一个能工作的过滤器ąčęėįšųū,有吗?如果不是的话,是否还有另一种功能来实现我所需要的方式呢?
浏览 1提问于2015-08-30得票数 0
回答已采纳
1回答
我正在编写一个铬扩展名,用于评估GitHub页面中的某些代码块,例如,```html-embed
并将其内容以HTML形式添加到页面中。这是否具有潜在的危险性,即是否存在恶意HTML?
浏览 0提问于2021-06-15得票数 0
回答已采纳
1回答
我真的想知道如果这个python脚本执行的话会发生什么,但是我担心如果我这样做,可能会发生一些不好的事情。有人知道会发生什么吗?import pickley = [] pickle.dump(y, open(str(i) + ".py","wb"))
浏览 1提问于2015-03-24得票数 0
回答已采纳
1回答
我试图发布从Wordpress内部的外部方生成的HTML,但是在所有HTML元素上,我得到的结果与style属性非常不一致,因为如果我以编程方式更新post,style属性就会被删除,但是如果我通过编辑器发布相同的HTML,它将保持不变。原始HTML:
$body = << 'ID' =>环境:
Wordpress 4.
浏览 0提问于2018-08-27得票数 0
回答已采纳
用户可以将文本插入到文本框中,这可能很危险,这样他就可以写出类似"2 < 3“的内容。Html.Encode(myString)
但是这也编码了新行等等,这样之后我就不能使用MarkdownSharp了。
浏览 18提问于2012-03-13得票数 0
回答已采纳
在这篇2003年的博客文章中,Mark Pilgrim建议iframe标签是危险的,应该作为HTML清理的一个组成部分来剥离:
包含不受信任内容的iframe标记在哪些方面是危险的?
浏览 1提问于2011-04-26得票数 0
1回答
根据请求的格式,Symfony2返回相同类型的响应(html、css、json等)。这是非常明显的。但是,如果我以定义的格式创建一个模板,并在该上下文中执行转义字符,但最终页面以不同的格式呈现,这不会有产生输出危险的风险?是否存在无意中创建可能包含危险输出/意外的资源的危险?这是故意的吗?
浏览 1提问于2012-06-25得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
