-
11 votesanswersviews
Rails默认的CSRF保护是不安全的吗?
默认情况下,Rails中的表单后期CSRF保护会为用户创建一个仅在用户会话更改时更改的真实性令牌 . 我们的一位客户对我们的网站进行了安全审核,并将其标记为问题 . 审计员的声明是,如果我们还有一个XSS漏洞,攻击者可以抓取另一个用户的真实性令牌,并利用它进行CSRF攻击,直到用户会话到期为止 . 但在我看来,如果我们有一个类似的XSS漏洞,攻击者可以轻松地抓取另一个用户的会话cookie并直接登... -
0 votesanswersviews
同步器令牌模式:它如何阻止XSS和CSRF的组合?
我一直在研究OWASP建议,以防止CSRF攻击(https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet) . 现在,我不明白这是如何防止XSS和CSRF攻击相结合的攻击 . 假设我们有以下攻击情形: 攻击者能够执行存储的XSS攻击,以便每次用户访问该页面时都会执行攻击者在... -
0 votesanswersviews
如何防御xss?
我'm making a CTF, which is a competition where you have to get a flag using certain methods. I'正在研究一个问题,他们通过使用XSS提醒javascript变量来获取标志 . 但是,XSS并不安全,我不能让他们这么做 . My question is: Is it possible to defend... -
207 votesanswersviews
如何使用HTML / PHP防止XSS?
如何仅使用HTML和PHP来阻止XSS(跨站点脚本)? 我已经看过很多关于这个主题的帖子,但我还没有找到一篇清晰简明地说明如何实际防止XSS的文章 . -
1 votesanswersviews
允许用户输入HTML实体是否危险?
我试图找出保护网站免受XSS影响的最小编码量 . 我知道我肯定需要在标签内部编码<(&lt;)和>(&gt;),在内部属性中使用“(&quot;)”和“(#39)” . 我是否还需要编码&(&amp;)?当用户保存数据时,我遇到了双重编码问题(因为&amp;将成为&amp; amp;) . 如果我没有对&符号进行编码,是否存在任何安全漏洞或缺点?这意味着他们可以输入他们想要的任何HTM... -
0 votesanswersviews
一个潜在危险的Request.Form值
在我的ASP.NET应用程序中,我在POST期间收到以下错误消息: 从客户端检测到一个潜在危险的Request.Form值 我知道这是因为.NET的一个名为Request Validation的功能正在防止可能在XSS攻击中使用的潜在危险字符被提交 . However, I use an HTML editor and need to be able to turn this featur... -
168 votesanswersviews
什么是http-header“X-XSS-Protection”?
所以我现在一直在用telnet来玩telnet(即只需输入“telnet google.com 80”并输入随机GET和带有不同 Headers 的POST等)但是我遇到了谷歌的东西 . com传输我不知道的 Headers . 我一直在浏览http://www.w3.org/Protocols/rfc2616/rfc2616.html,并且没有找到谷歌似乎正在喷出的特定http-header... -
8 votesanswersviews
我是否需要清理用户输入Laravel
我正在使用Laravel 4和Eloquent . 当我得到用户输入时我只使用 $name=Input::get('name') 然后我做 $a->name=$name; 我不知道函数 Input::get 是否保护我免受SQL注入和XSS的攻击 . 如果没有,我需要做些什么来消毒输入? 并且,当我在我的视图中显示值时,我应该使用 {{$a}} 或 {{{$a}}} 问候和感谢 . -
4 votesanswersviews
PHP输入消毒剂?
什么是一些好的PHP html(输入)清洁剂? 最好是,如果内置了某些东西 - 我希望我们这样做 . UPDATE : 根据请求,通过注释,输入应该 not 允许HTML(显然阻止XSS和SQL注入等) . -
56 votesanswersviews
使用Python消除用户输入
清理基于Python的Web应用程序的用户输入的最佳方法是什么?是否有一个函数可以删除HTML字符和任何其他必要的字符组合,以防止XSS或SQL注入攻击? -
0 votesanswersviews
PHP:PDO(SQLite)用户输入 - 安全性?
我正在编写一个小问答网络应用程序,允许互联网用户提交问题的答案(只能提交答案,而不是问题) . 我已经积极尝试解决有效负载( strlen() ),XSS( htmlspecialchars() ),SQL注入( prepare() )的权重,并且用户正在提交对实际存在的问题的答案(通过执行 SELECT 查询"behind the scenes") . public func... -
3 votesanswersviews
清理用于电子邮件的用户输入
我正在考虑从面向Internet的ASP.NET MVC5网站收集的用户提供的输入的xss清理 . 在浏览器中呈现这些输入时,对这些输入进行消毒已得到充分记录并得到满足 . 但是,在构建包含所述用户提供的值的电子邮件的上下文中,我没有找到有关如何最好地处理清理的声誉指南 . 默认情况下,我将发送纯文本消息,表明我不需要对这些值进行HTML编码 . 但是,我担心现代邮件客户端会尝试将任何看起来像HT... -
4 votesanswersviews
是否有标准的JSF方式或开源库允许输出转义文本但_with_html格式?
我们需要输出文本,该文本是数据库中静态文本和动态值的组合,使用具有特定于语言的静态文本块的消息属性来解析全文 . 我们需要转义输出文本以防止XSS攻击 . 但是,我们还需要将格式应用于完整字符串,例如: Hello <b>{username}</b>! 这当然是伪语法, {username} 是要用真实用户名替换的变量,另一个文本是静态的并且在消息属性中定义(例如: &qu... -
1001 votesanswersviews
使用PHP清理用户输入的最佳方法是什么?
是否有一个catchall函数适用于清理SQL注入和XSS攻击的用户输入,同时仍允许某些类型的html标记? -
11 votesanswersviews
如何制作美丽的汤输出HTML实体?
我正在尝试清理和XSS证明来自客户端的一些HTML输入 . 我正在使用Python 2.6和Beautiful Soup . 我解析输入,剥离不在白名单中的所有标签和属性,并将树转换回字符串 . 然而... >>> unicode(BeautifulSoup('text < text')) u'text < text' 对我来说,这看起来不像是有效的HTML . 使... -
16 votesanswersviews
使用Spring MVC框架消除用户输入
我正在使用spring mvc框架开发web应用程序,我想知道有没有最好的方法来清理用户输入或常用方法来清理Spring中的所有用户输入以避免XSS和Sql Injection攻击? -
3 votesanswersviews
JSF 2.0; escape =“false”替代防止XSS?
在我的jsf webapplication中,我使用messages.properties输出一些文本 . 此文本可能有html换行符,因此格式化outputtext . 如果我将escape =“false”属性设置为outputtext,那一切都正常 . 问题是,此值为“false”的属性不会阻止vor XSS(跨站点脚本),因此我删除此属性并使用default-value“true” . 所... -
0 votesanswersviews
当在JSF中使用来自用户的污染输入时,<f:verbatim>标签对XSS是否安全?
我正在寻找有关使用JavaServer Faces的Web应用程序中的XSS的信息 . 我找到了论文Proofing Java EE, JSP, and JSF Applications在第48页(幻灯片36),名为"Escaping in JSF",有代码片段: <f:verbatim value="#{foo}"/> 同样在第50页(幻灯片... -
1 votesanswersviews
使用Primefaces inputText小部件时如何解码文本?
我正在尝试将XSS预防功能添加到我的JSF / primefaces系统中 . 从参考http://www.ibm.com/developerworks/library/se-prevent/,我理解它应该如何做的方式是: 数据在后端保存原样(即解码) . 例如,"alert(/xss/)" 当显示为输出时,Web服务器(在jsf情况下,托管bean)将对字符进行编码 ... -
2 votesanswersviews
考虑到现代浏览器,服务器端是否需要XSS保护技术?
这是真的吗: 现代浏览器将"origin"标头添加到任何跨域请求中 . 现代浏览器在响应中查找"Access-Control-Allow-Origin"标头,如果没有此标头,则不处理响应正文 . 因此,服务器不需要使用CSRF令牌来保护用户使用现代浏览器 . 如果不希望跨域请求,服务器不需要CORS . 换句话说,这些陈述是真的吗? 现代浏览... -
-3 votesanswersviews
如何在php中保护pasword字段
我有2个字段( html form 中的文本框)user_name和password . 示例= <?php $mail = $_POST['mail']; $pswrd = $_POST['passwrd']; $addtouser = $mysqli->query("INSERT INTO user_table ( 电子邮件 , passwordss ) VAL... -
0 votesanswersviews
从客户端检测到一个潜在危险的Request.Form值:哪个解决方案
我有一个使用aspx页面的Web应用程序 . 首先,我想使用 Server.HtmlEncode(value) ,在 LabelledTextBox 中显示值 public interface ILabelledControl { bool ReadOnly { get; set; } } [DefaultProperty("Text")] [ToolboxData(...