清理基于Python的Web应用程序的用户input的最佳方式是什么? 是否有一个单一的function来删除HTML字符和任何其他必要的字符组合,以防止XSS或SQL注入攻击?
我有来自用户的非转义数据。 那么这样使用是否安全: var data = '<test>a&f"#</test>'; // example data from ajax response if (typeof(data) === 'string') $('body').text(data); 我可以这样使用,还是有一些问题,如编码或一些特定的符号,我应该小心,并添加更严格的validation?
鉴于以下两个HTML / PHP代码片段: <input type="text" name="firstname" value="<?php echo $_POST['firstname']; ?>" /> 和 <textarea name="content"><?php echo $_POST['content']; ?></textarea> 什么字符编码我需要使用回显的$_POSTvariables? 我可以使用任何内置的PHP函数吗? 请假定$_POST值尚未被编码。 没有魔法没有引号。
任何想法如何防止XSS攻击node.js应用程序? 任何在那里处理删除href中的JavaScript,onclick属性等库。 从发布的数据? 我不想写一个正则expression式:) 有什么build议么?
这似乎是window.postMessage的要点是允许安全沟通不同域之间托pipe的窗口/框架,但它似乎并不允许在Chrome中。 这是一个场景: 在域A的页面上embedded<iframe>(在域B *上带有src ) <iframe>最终是一个<script>标签,在其结尾执行… 我打电话给window.postMessage( some_data , page_on_A ) <iframe>绝对是在域B的上下文中,并且我已经确认在<iframe>中embedded的javascript执行正确并且调用postMessage的正确值。 我在Chrome中收到此错误消息: 无法发送消息给A。 收件人有原件B. 下面是在A上的页面上注册一个消息事件监听器的代码: window.addEventListener( "message", function (event) { // Do something }, false); 我也试着调用window.postMessage(some_data, '*') ,但是所有这些都是压制错误。 我只是在这里忽略了一点,是window.postMessage(…)不是为了这个? 还是我只是做了可怕的错误? * MIMEtypes的文本/ HTML,它必须保持。
我如何在我的PHP apps设置Cookie作为HttpOnly cookies ?
所以我一直在用HTTP来玩弄telnet(也就是说只要input“telnet google.com 80”,随意地将GET和POST放入不同的头文件等等),但我碰到过Google的东西。 com传送的是我不知道的标题。 我一直在寻找通过http://www.w3.org/Protocols/rfc2616/rfc2616.html,并没有发现这个特定的http头,谷歌似乎是吐出来的定义: GET / HTTP/1.1 HTTP/1.1 200 OK Date: Wed, 01 Feb 2012 03:42:24 GMT Expires: -1 Cache-Control: private, max-age=0 Content-Type: text/html; charset=ISO-8859-1 Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info." […]
我最近注意到我的应用程序有一个大的漏洞,因为我做了如下的事情: <input type="text" value="<%= value%>" /> 我知道我应该使用Html.Encode ,但有没有办法做到这一点,所有的价值,而不必明确地做到这一点?
有没有人知道有一个很好的function,从表单过滤通用input? Zend_Filter_input似乎需要事先了解input内容,我担心使用诸如HTML Purifier之类的东西会对性能产生很大的影响。 怎么样的东西: http : //snipplr.com/view/1848/php–sacar-xss/ 非常感谢您的任何意见。
我正尝试使用jQuery的ajax方法在不同的域上创buildWeb服务。 在做了一些研究之后,看起来它不允许这是通过devise来防止跨站点脚本。 我遇到了一个围绕这一行的工作: $.support.cors = true; 在我的JavaScript代码的顶部。 据我所知,这使得在jQuery跨站点脚本。 有这样的代码行使我的网站更容易受到攻击? 我一直听说XSS是一个安全问题,XSS有合法用途吗?