la entrada es URL, cómo protegerla de xss

Prevención XSS y .innerHTML

Cuando permito a los usuarios insertar datos como argumento para el JSinnerHTML funciona así: element.innerHTML = “User provided variable”;Comprendí que para evitar XSS, tengo que codificar HTML y luego JS codificar la entrada del usuario porque ...

La mejor manera de asegurar wysiwyg simple con php

i he agregado un simple editor wysiwyg en mi sitio web. (solo permite B / I / U, no más) Actualmente almaceno todo el contenido como html en mi base de datos, pero atm es simple agregar<a onclick='...'> u otro código malicioso) ¿Cuál es la ...

¿Son estas dos funciones excesivas para la desinfección?

function sanitizeString($var) { $var = stripslashes($var); $var = htmlentities($var); $var = strip_tags($var); return $var; } function sanitizeMySQL($var) { $var = mysql_real_escape_string($var); $var = sanitizeString($var); return $var; }Obtuve ...

¿Ejemplos de XSS que puedo usar para probar la entrada de mi página?

He tenido problemas con XSS. Específicamente, tuve una alerta JS de inyección individual que mostraba que mi entrada tenía vulnerabilidades. Investigué sobre XSS y encontré ejemplos, pero por alguna razón no puedo hacer que funcionen. ¿Puedo ...

Direcciones de correo electrónico válidas: inyección XSS y SQL

Dado que hay tantos caracteres válidos para las direcciones de correo electrónico, ¿hay algunoválidodirecciones de correo electrónico que pueden ser en sí mismos ataques XSS o inyecciones SQL? No pude encontrar ninguna información sobre esto en ...

AntiXSS en ASP.Net Core

Biblioteca de protección web de Microsoft (AntiXSS) [https://wpl.codeplex.com/] ha llegado al final de la vida. La página dice "En .NET 4.0 se incluyó una versión de AntiXSS en el marco y se pudo habilitar mediante la configuración. En ASP.NET ...

¿Cuándo es mejor desinfectar la entrada del usuario?

Usuario es igual a no confiable. Nunca confíes en la información del usuario que no sea confiable. Lo entiendo. Sin embargo, me pregunto cuándo es el mejor momento para desinfectar la información. Por ejemplo, ¿almacena ciegamente la entrada del ...

Representación de enlaces telefónicos en HTL según la entrada de un widget de texto enriquecido

Tengo un componente que usa el widget Rich Text Edit (xtype="richtext") en mi proyecto que se usa en todo el sitio como componente de texto predeterminado. Los usuarios desean poder insertar enlaces telefónicos utilizando eltel Esquema de URI en ...

Chrome: detalles ERR_BLOCKED_BY_XSS_AUDITOR

Recibo esta bandera de cromo cuando intento publicar y luego obtengo un formulario simple. El problema es que la Consola de desarrollador no muestra nada al respecto y no puedo encontrar la fuente del problema por mí mismo. ¿Hay alguna opción ...