Resultados da pesquisa a pedido "xss"
Alinhe o HTML de visualização do editor WMD com a validação de HTML do servidor (por exemplo, nenhum código JavaScript incorporado)
Há muitas perguntas sobre estouro de pilha (por exemplo,Lista de permissões, impedindo XSS com controle WMD em C # [https://stackoverflow.com/questions/2104520/whitelisting-preventing-xss-with-wmd-control-in-c-net] eMarkdown WMD e do lado do ...
Segurança de formulários PHP com referenciador
Estou montando um site que ficará disponível para a entrada do usuário. Eu queria saber se escrever uma função como: if(getenv("HTTP_REFERER") != 'http://www.myURL.com/submitArea'){ die('don\'t be an jerk, ruin your own site'); }else{ // ...
Por que os navegadores têm políticas de mesma origem quando existem soluções alternativas como JSONP e CORS?
Esta pergunta é uma espécie de duplicata de:Por que a mesma política de origem para XMLHttpRequest [https://stackoverflow.com/questions/1830050/why-same-origin-policy-for-xmlhttprequest] No entanto, essa resposta não é satisfatória porque não ...
Diferentes subdomínios do mesmo aplicativo podem impedir ataques maliciosos como o XSS?
No meu aplicativo Rails, tenho 2 subdomínios, 1 :members.myapp.comqual é a área compartilhada entreTodos os membros(onde eles podem fazer login e gerenciar suas contas) Dois: cada membro tem seu próprio site em um subdomínio como ...
Ataque XSS para ignorar a função htmlspecialchars () no atributo value
Digamos que tenhamos este formulário, e a parte possível para um usuário injetar código malicioso é esta abaixo ... <input type=text name=username value= <?php echo htmlspecialchars($_POST['username']); ?>> ...Não podemos simplesmente ...
Endereços de email válidos - injeção de XSS e SQL
Como existem tantos caracteres válidos para endereços de email, existe algum válidoendereços de email que, por si só, podem ser ataques XSS ou injeções de SQL? Não consegui encontrar nenhuma informação sobre isso na web. A parte local do ...
OWASP ZAP relatou "alert (1);" vulnerabilidade XSS, mas nenhum pop-up apareceu
OWASP ZAP relatou "alert (1);" vulnerabilidade XSS, mas não conseguimos acessar o navegador. Isso é apenas um falso positivo? O HTML que envolve o ataque injetado é: <script ...
ESAPI para prevenção de XSS não está funcionando
Estou trabalhando na correção de problemas de script entre sites em nosso código, principalmente em JSPS. Abaixo está o código original //scriplet code <% String userId = request.getParameter("sid"); ...%>e no mesmo Jsp eles têm <input type = ...
Essas duas funções são um exagero para a higienização?
function sanitizeString($var) { $var = stripslashes($var); $var = htmlentities($var); $var = strip_tags($var); return $var; } function sanitizeMySQL($var) { $var = mysql_real_escape_string($var); $var = sanitizeString($var); return $var; }Peguei ...
Para HTMLENCODE ou não para entrada do usuário HTMLENCODE no formulário da web (asp.net vb)
Eu tenho muitos parâmetros que compõem um formulário de inserção, por exemplo: x.Parameters.AddWithValue("@city", City.Text)Eu tive um ataque xss com falha no site hoje de manhã, então estou tentando reforçar as medidas de segurança de qualquer ...