É seguro usar window.location.href diretamente sem validação

É seguro usar window.location.href sem nenhuma validação? Por exemplo: <script> var value = window.location.href; alert(value); </script>No exemplo acima, ele é vulnerável a ataques de cross-site scripting (XSS)? Se for, então como? Como o ...

OWASP ZAP relatou "alert (1);" vulnerabilidade XSS, mas nenhum pop-up apareceu

OWASP ZAP relatou "alert (1);" vulnerabilidade XSS, mas não conseguimos acessar o navegador. Isso é apenas um falso positivo? O HTML que envolve o ataque injetado é: <script ...

O que faria com que um processo java excedesse em muito o limite de Xmx ou Xss?

Eu tenho 7 daemons java diferentes que eu corro (todos os 7) em 3 servidores diferentes. A linha de comando do java tem -Xmx2048m e -Xss1024k. Nesses 3 servi...

Dilema do Codeigniter xss_clean

O createTextNode é totalmente seguro contra injeção de HTML e XSS?

Eu estou trabalhando em uma única página webapp. Eu estou fazendo a renderização criando diretamente os nós DOM. Em particular, todos os dados fornecidos pel...

A ASP.NET MVC 4 requer manipulação extra de XSS por padrão

Remover ataques XSS enquanto ainda permite html?

Ok, agora eu tenho um dilema, eu preciso permitir que os usuários insiram HTML bruto, mas também bloquear todos os JS - não apenas tags de script, mas a part...

Injeção de script de site cruzado

Eu estou testando um aplicativo da web. Eu quero escrever um

Os ataques XSS são possíveis através de endereços de e-mail?

Como acessar dentro do quadro

Como acessar o iframe: