タグ付けされた質問 「xss」


10
HTML / PHPでXSSを防ぐ方法は?
HTMLとPHPだけを使用してXSS(クロスサイトスクリプティング)を防ぐにはどうすればよいですか? このトピックに関する他の多くの投稿を見てきましたが、XSSを実際に防ぐ方法を明確かつ簡潔に説明する記事は見つかりませんでした。
256 php  xss 

5
http-header“ X-XSS-Protection”とは何ですか?
だから私は今Telnetで楽しみのためにHTTPをいじくり回しています(つまりtelnet google.com 80、さまざまなヘッダーなどでランダムなGETとPOSTを入力して入力するだけです)が、google.comがヘッダーで送信するものに遭遇しました分からない。 私はhttp://www.w3.org/Protocols/rfc2616/rfc2616.htmlを調べていましたが、Googleが噴出しているように見えるこの特定のhttp-headerの定義が見つかりませんでした。 GET / HTTP/1.1 HTTP/1.1 200 OK Date: Wed, 01 Feb 2012 03:42:24 GMT Expires: -1 Cache-Control: private, max-age=0 Content-Type: text/html; charset=ISO-8859-1 Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly P3P: CP="This is not a P3P policy! See …
194 http  http-headers  xss 

6
htmlspecialcharsとmysql_real_escape_stringはPHPコードをインジェクションから保護しますか?
本日、Webアプリでの入力検証戦略について質問がありました。 トップの答えは、執筆時点で、中に示唆するPHPだけで使用するhtmlspecialcharsとmysql_real_escape_string。 私の質問は、これは常に十分ですか?知っておくべきことがもっとありますか?これらの機能はどこで壊れますか?


10
警告:安全でないスタイル値のURLをサニタイズしています
Angular 2アプリのコンポーネントテンプレートでDIVの背景画像を設定したいと思います。しかし、コンソールに次の警告が表示され続け、目的の効果が得られません... Angular2のセキュリティ制限のために動的CSS背景画像がブロックされているのか、HTMLテンプレートが壊れているのかわかりません。 これはコンソールに表示される警告です(img urlを/img/path/is/correct.png次のように変更しました: 警告:安全でないスタイル値のURLをサニタイズします(SafeValueは[property] = binding:/img/path/is/correct.pngを使用する必要があります(http://g.co/ng/security#xssを参照))(http://を参照)g.co/ng/security#xss)。 問題はDomSanitizationService、Angular2 を使用してテンプレートに注入されたものをサニタイズすることです。テンプレートにあるHTMLは次のとおりです。 <div> <div> <div class="header" *ngIf="image" [style.background-image]="'url(' + image + ')'"> </div> <div class="zone"> <div> <div> <h1 [innerHTML]="header"></h1> </div> <div class="zone__content"> <p *ngFor="let contentSegment of content" [innerHTML]="contentSegment"></p> </div> </div> </div> </div> </div> これがコンポーネントです... Import { DomSanitizationService, SafeHtml, SafeUrl, SafeStyle } from …
107 typescript  angular  xss 

12
Scriptタグにパラメータを渡す方法は?
チュートリアルDIYウィジェットを読みました-ニック博士によるXSSウィジェットの別のサイトにサイトを埋め込む方法。 スクリプトタグにパラメータを渡す方法を探しています。たとえば、次の作業を行うには: <script src="http://path/to/widget.js?param_a=1&param_b=3"></script> これを行う方法はありますか? 2つの興味深いリンク: jQueryに依存するJavascriptウィジェットを未知の環境に埋め込む方法(Stackoverflowディスカッション) スクリプトタグへのパラメータの受け渡しに関する記事


3
ドメイン間でwindow.postMessageをどのように使用しますか?
window.postMessageのポイントは、異なるドメインでホストされているウィンドウ/フレーム間の安全な通信を可能にすることであるように見えますが、実際にはChromeではそれを許可していないようです。 シナリオは次のとおりです。 ドメインAのページに<iframe>(srcドメインB *にある)を埋め込む <iframe>は、ほとんどが<script>タグになり、最後に実行されます... window.postMessage(some_data、page_on_A)を呼び出します <iframe>は間違いなくドメインBのコンテキストにあり、その<iframe>に埋め込まれたJavaScriptが正しく実行さpostMessageれ、正しい値で呼び出されることを確認しました。 Chromeで次のエラーメッセージが表示されます。 Aにメッセージを投稿できません。受信者の原点はBです。 Aのページにメッセージイベントリスナーを登録するコードは次のとおりです。 window.addEventListener( "message", function (event) { // Do something }, false); 私も呼び出してみましたwindow.postMessage(some_data, '*')が、エラーを抑えるだけです。 ここで要点を見逃しているだけですか、window.postMessage(...)はこれを目的としていませんか?それとも私はそれをひどく間違っているだけですか? * MIMEタイプのtext / html。そのままにしておく必要があります。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.