Können verschiedene Subdomains derselben App böswillige Angriffe wie XSS verhindern?

n meiner Rails-App habe ich 2 Subdomains, einer : members.myapp.com welches ist der Bereich, der von @ geteilt wialle Mitgliede (wo sie sich anmelden und ihre Konten verwalten können) Two: Jedes Mitglied hat eine eigene Website in einer ...

Escaping Ausgabe sicher für HTML-und Eingabefelder

In meiner Web-App können Benutzer Textdaten eingeben. Diese Daten können anderen Benutzern angezeigt werden, und der ursprüngliche Autor kann auch zurückgehen und seine Daten bearbeiten. Ich suche nach dem richtigen Weg, um diesen Daten sicher zu ...

Cross-Origin Resource Sharing (CORS) - vermisse ich hier etwas?

Ich habe darüber gelesenCORS [https://developer.mozilla.org/en/HTTP_access_control]und ich denke, die Implementierung ist sowohl einfach als auch effektiv. Ich denke jedoch, dass ein großer Teil der Spezifikation fehlt, es sei denn, ich vermisse ...

Bereinigen aller Inline-Ereignisse von HTML-Tags

Für die HTML-Eingabe möchte ich alle HTML-Elemente mit Inline-Js neutralisieren (onclick = "..", onmouseout = ".." usw.). Ich denke, ist ...

Benutzereingaben mit Python bereinigen

So ändern Sie QueryParam und PathParam in Jersey 2

Ich versuche, Post- und Put-Aufrufe zu filtern / ändern, um sicherzustellen, dass alle vom Benutzer bereitgestellten Parameter aus HTML- und JS-Code herausgefiltert werden, um XSS-Angriffe zu verhindern. Ich möchte sicherstellen, dass dies auf ...

Was sind "Top-Level-JSON-Arrays" und warum sind sie ein Sicherheitsrisiko?

Im Video unten, um 21:40 Uhr, sagt der Microsoft PDC-Moderator, dass es wichtig ist, dass alle JSON-Dateien eingeschlossen werden, damit es sich nicht um ein Array der obersten Ebene handelt: https: ...

Wie kann man HTML-Code in Java bereinigen, um XSS-Angriffe zu verhindern?

Ich suche nach class / util usw., um HTML-Code zu bereinigen, d. H. Gefährliche Tags, Attribute und Werte zu entfernen, um XSS und ähnliche Angriffe zu vermeiden. Ich erhalte HTML-Code vom Rich-Text-Editor (z. B. TinyMCE), aber es ...

Alles HTML in Python entfernen?

Gibt es eine Möglichkeit, HTML-Tags mit lxml.html und nicht mit beautifulsoup, die einige xss-Probleme haben, zu entfernen / zu entkommen? Ich habe versucht, Cleaner zu verwenden, aber ich möchte alle HTML-Dateien entfernen.

Wie kann man die XSS-Sicherheitslücke im HTTP-Header ausnutzen?

Nehmen wir an, eine Seite gibt nur den Wert des HTTP-Headers 'referer' ohne Escapezeichen aus. Die Seite ist also anfällig für einen XSS-Angriff, d. H. Ein Angreifer kann eine GET-Anfrage mit einem Referer-Header erstellen, der so etwas wie @ ...