这真的是我要防止XSS攻击所需要的全部吗?有谁能解释一下htmlspecialchars、mysql_real_escape_string、htmlpurifier和其他注射防御方式的区别吗?HTMLPurifier是否防御JS攻击?
浏览 6提问于2012-02-11得票数 3
temp = document.scripts[2].outerText;以及获得csrf_token的其他几件事
这是否意味着如果我可以执行xss(或在网站上运行自定义JS ),那么csrf令牌可能会失败?
浏览 3提问于2012-06-11得票数 1
回答已采纳
1回答
跨站脚本( XSS )是由于spring中的缺陷而发生的攻击,XSS是前端问题,browsers.As没有遵循任何机制来防御XSS吗?
浏览 1提问于2018-06-01得票数 0
据我所知,我需要在报头服务器端禁用X- XSS -Protection,以防止XSS通过GET请求发生。http://mysite.com/index.php?page=<script type='text/javascript'> alert("XSS"); </script>
假设$_GET' page‘被从PHP回显到页面,而没有以任何方式被更改,XSS这是否足以防止
浏览 4提问于2013-07-23得票数 1
1回答
用猫鼬防御XSS攻击
、、、
我正在node.js中进行一个项目,该项目使用mongoose来处理MongoDB。我想防御XSS的攻击。建议的方法是什么?我发现了这个:
能起作用吗?我正在寻找一个解决方案,不需要检查每一个输入。
浏览 0提问于2018-09-28得票数 1
回答已采纳
2回答
我想在HTML上下文中转义XSS,到目前为止,我处理了<、>和"字符。显然,建议您也避开&符号,但为什么呢?(除了保持HTML有效之外,让我们假设这不是问题)干杯!
浏览 1提问于2012-02-03得票数 11
回答已采纳
3回答
为什么这么多人对XSS使用不同的防御(攻击或漏洞)?我认为XSS是攻击,利用不足的过滤漏洞。我说的对吗?
这个问题的答案应该明确地解释什么是XSS的正确定义,并附加注释,为什么人们使用不同的定义。
浏览 0提问于2014-10-16得票数 4
回答已采纳
1回答
我最近在我的网站上运行了一次安全扫描,其中一个正在使用的JS文件被标记为存在DOM跨站点脚本问题,我不确定如何才能修复它。文件:jquery.address 1.4.js_supported =
(_mozilla && _version >= 1) ||
浏览 4提问于2013-03-02得票数 1
防御XSS的常见方法,不管是否存储,都是对有效载荷进行HTML编码。对数据的上传/发布进行编码对于处理能力是有效的,并且可以尽早中和它,以便存储在数据库中。但是,如果以某种方式绕过上传防御,那么有效载荷就会在很长一段时间内变得活跃和危险。在检索或显示有效载荷时进行编码意味着可以将数据存储在数据库中,这样可以节省几个字节,虽然可以绕过1页/端点上的弱防御,但不需要担心存储和删除原始XSS有效负载。
浏览 0提问于2022-04-10得票数 1
1回答
我正在了解浏览器针对XSS漏洞使用的不同缓解措施。浏览器用来防御XSS漏洞的主要技术是什么?XSS-保护头在幕后做什么?还有其他针对XSS的安全层吗?
浏览 0提问于2023-01-19得票数 0
我确信这个问题的答案是否定的,但我似乎找不到一种简单地将<和>转换为<和>而不完全阻止反射的和持久的XSS的方法。
我不是在说CSRF。如果这不能阻止XSS,您能提供一个如何绕过此防御的示例吗?
浏览 0提问于2011-04-18得票数 16
回答已采纳
1回答
我正在AWS上开发一个无服务器应用程序,并使用Svelte.js和Sapper开发一个静态前端。对于用户管理,我使用AWS认知用户池。我还理解使用HttpOnly可以阻止javascript对cookie的访问,因此它们应该对XSS攻击更加敏感。,以确保CSRF防御系统无法规避。如果我的应用程序中存在XSS漏洞,这不意味着我设置的任何CSRF防御实际上都是无用的吗?
如果是这样的话,那么当我一开始就需要防止XSS的时候,为什么还要经历处理cookie和CSRF预防的麻烦呢?是否有一种方法
浏览 0提问于2019-08-16得票数 2
1回答
我的问题是,<%:%>是更好地防御XSS,还是像使用Microsoft Anti XSS库一样好?微软的一位安全人员曾告诉我,永远不要只使用HTML编码,因为它不能很好地保护我,我应该总是使用Anti XSS库(或其他库)。对于<%:%>,这是否仍然正确?或者,我是否可以像人们所说的那样自信地使用<%:%>来保护我的应用程序免受XSS的攻击?
浏览 1提问于2010-06-29得票数 7
回答已采纳
XSS的安全方法似乎是在开发人员想到它的时候过滤输出。不出所料,他们没有抓住一切,我们有一些真正糟糕的XSS机会。在过去的生活中,我使用了拉斯谟倡导者:filter所有输入的方法,以保证XSS的安全性,并且不要在显示时操之过急。
浏览 0提问于2013-09-18得票数 3
假设web应用程序在配置良好的WAF后面,是否仍然存在与HTTP注入相关的攻击窗口,如SQLi、XSS、LFI、HTMLi?
如果是这样,WAF是否被认为是一项多余的防御措施?
浏览 0提问于2018-06-11得票数 0
回答已采纳
如果考虑到前端服务器上没有禁用JavaScript。如果是这样的话,我们是否可以将服务器配置为在某种沙箱中运行所有javascript。例如,类似于代码的东西。
浏览 0提问于2016-03-15得票数 2
回答已采纳
1回答
我想防止我的应用程序受到XSS和CSRF攻击,我想做一些全局检查以防止这些攻击。我在statup文件中使用了ConfigureServices函数中的以下代码,它可以防止CSRF攻击,但我不确定这是否足以防止这两种攻击,或者是否需要编写一些代码来分别防止XSS攻击。
浏览 1提问于2020-03-03得票数 0
云服务器
ICP备案
对象存储
实时音视频
云直播
腾讯云开发者
