タグ付けされた質問 「xss」

特定のタイプのHTMLタグを許可しながら、SQLインジェクションとXSS攻撃のユーザー入力をサニタイズするために適切に機能するキャッチオール関数はどこにありますか？

1124 php  security  xss  sql-injection  user-input 

HTMLとPHPだけを使用してXSS（クロスサイトスクリプティング）を防ぐにはどうすればよいですか？ このトピックに関する他の多くの投稿を見てきましたが、XSSを実際に防ぐ方法を明確かつ簡潔に説明する記事は見つかりませんでした。

256 php  xss 

だから私は今Telnetで楽しみのためにHTTPをいじくり回しています（つまりtelnet google.com 80、さまざまなヘッダーなどでランダムなGETとPOSTを入力して入力するだけです）が、google.comがヘッダーで送信するものに遭遇しました分からない。 私はhttp://www.w3.org/Protocols/rfc2616/rfc2616.htmlを調べていましたが、Googleが噴出しているように見えるこの特定のhttp-headerの定義が見つかりませんでした。 GET / HTTP/1.1 HTTP/1.1 200 OK Date: Wed, 01 Feb 2012 03:42:24 GMT Expires: -1 Cache-Control: private, max-age=0 Content-Type: text/html; charset=ISO-8859-1 Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly P3P: CP="This is not a P3P policy! See …

194 http  http-headers  xss 

本日、Webアプリでの入力検証戦略について質問がありました。 トップの答えは、執筆時点で、中に示唆するPHPだけで使用するhtmlspecialcharsとmysql_real_escape_string。 私の質問は、これは常に十分ですか？知っておくべきことがもっとありますか？これらの機能はどこで壊れますか？

116 php  security  xss  sql-injection 

Reactチュートリアルでこれを読みました。これは何を意味するのでしょうか？ 反応は安全です。HTML文字列は生成しないため、XSS保護がデフォルトです。 Reactが安全な場合、XSS攻撃はどのように機能しますか？この安全はどのようにして達成されますか？

108 reactjs  security  xss 

Angular 2アプリのコンポーネントテンプレートでDIVの背景画像を設定したいと思います。しかし、コンソールに次の警告が表示され続け、目的の効果が得られません... Angular2のセキュリティ制限のために動的CSS背景画像がブロックされているのか、HTMLテンプレートが壊れているのかわかりません。 これはコンソールに表示される警告です（img urlを/img/path/is/correct.png次のように変更しました： 警告：安全でないスタイル値のURLをサニタイズします（SafeValueは[property] = binding：/img/path/is/correct.pngを使用する必要があります（http://g.co/ng/security#xssを参照））（http：//を参照）g.co/ng/security#xss）。 問題はDomSanitizationService、Angular2 を使用してテンプレートに注入されたものをサニタイズすることです。テンプレートにあるHTMLは次のとおりです。 <div> <div> <div class="header" *ngIf="image" [style.background-image]="'url(' + image + ')'"> </div> <div class="zone"> <div> <div> <h1 [innerHTML]="header"></h1> </div> <div class="zone__content"> <p *ngFor="let contentSegment of content" [innerHTML]="contentSegment"></p> </div> </div> </div> </div> </div> これがコンポーネントです... Import { DomSanitizationService, SafeHtml, SafeUrl, SafeStyle } from …

107 typescript  angular  xss 

チュートリアルDIYウィジェットを読みました-ニック博士によるXSSウィジェットの別のサイトにサイトを埋め込む方法。 スクリプトタグにパラメータを渡す方法を探しています。たとえば、次の作業を行うには： <script src="http://path/to/widget.js?param_a=1&param_b=3"></script> これを行う方法はありますか？ 2つの興味深いリンク： jQueryに依存するJavascriptウィジェットを未知の環境に埋め込む方法（Stackoverflowディスカッション） スクリプトタグへのパラメータの受け渡しに関する記事

95 javascript  parameters  widget  xss  script-tag 

どのように私は私にクッキーを設定することができますPHP appsようにHttpOnly cookies？

93 php  security  cookies  xss  httponly 

window.postMessageのポイントは、異なるドメインでホストされているウィンドウ/フレーム間の安全な通信を可能にすることであるように見えますが、実際にはChromeではそれを許可していないようです。 シナリオは次のとおりです。 ドメインAのページに<iframe>（srcドメインB *にある）を埋め込む <iframe>は、ほとんどが<script>タグになり、最後に実行されます... window.postMessage（some_data、page_on_A）を呼び出します <iframe>は間違いなくドメインBのコンテキストにあり、その<iframe>に埋め込まれたJavaScriptが正しく実行さpostMessageれ、正しい値で呼び出されることを確認しました。 Chromeで次のエラーメッセージが表示されます。 Aにメッセージを投稿できません。受信者の原点はBです。 Aのページにメッセージイベントリスナーを登録するコードは次のとおりです。 window.addEventListener( "message", function (event) { // Do something }, false); 私も呼び出してみましたwindow.postMessage(some_data, '*')が、エラーを抑えるだけです。 ここで要点を見逃しているだけですか、window.postMessage（...）はこれを目的としていませんか？それとも私はそれをひどく間違っているだけですか？ * MIMEタイプのtext / html。そのままにしておく必要があります。

89 javascript  html  google-chrome  xss