Perguntas com a marcação «xss»

Existe uma função catchall em algum lugar que funcione bem para higienizar a entrada do usuário para injeção de SQL e ataques XSS, enquanto ainda permite certos tipos de tags HTML?

1124 php  security  xss  sql-injection  user-input 

Como evito o XSS (script entre sites) usando apenas HTML e PHP? Eu já vi várias outras postagens sobre esse tópico, mas não encontrei um artigo que indique de forma clara e concisa como realmente impedir o XSS.

256 php  xss 

Então, eu tenho brincado com HTTP por diversão no telnet agora (ou seja, apenas digitando telnet google.com 80e colocando GETs e POSTs aleatórios com cabeçalhos diferentes e similares), mas me deparei com algo que o google.com transmite nos cabeçalhos que eu não sei Eu estive pesquisando http://www.w3.org/Protocols/rfc2616/rfc2616.html e não encontrei …

194 http  http-headers  xss 

Hoje cedo, uma pergunta foi feita sobre estratégias de validação de entrada em aplicativos da web . A principal resposta, no momento da redação, sugere PHPapenas o uso de htmlspecialcharse mysql_real_escape_string. Minha pergunta é: isso é sempre suficiente? Há mais coisas que devemos saber? Onde essas funções se dividem?

116 php  security  xss  sql-injection 

Eu li isso no tutorial React. O que isto significa? Reagir é seguro. Não estamos gerando strings HTML, então a proteção XSS é o padrão. Como funcionam os ataques XSS se o React for seguro? Como essa segurança é alcançada?

109 reactjs  security  xss 

Quero definir a imagem de plano de fundo de um DIV em um modelo de componente em meu aplicativo Angular 2. No entanto, continuo recebendo o seguinte aviso em meu console e não obtenho o efeito desejado ... Não tenho certeza se a imagem de plano de fundo do CSS …

107 typescript  angular  xss 

Como posso definir os cookies no meu PHP appsAS HttpOnly cookies?

93 php  security  cookies  xss  httponly 

Parece que o objetivo de window.postMessage é permitir a comunicação segura entre janelas / frames hospedados em domínios diferentes, mas na verdade não parece permitir isso no Chrome. Este é o cenário: Incorpore um <iframe> (com um srcno domínio B * ) em uma página no domínio A O <iframe> …

89 javascript  html  google-chrome  xss 

Eu li o tutorial DIY widgets - Como incorporar seu site em outro site para XSS Widgets do Dr. Nic. Estou procurando uma maneira de passar parâmetros para a tag de script. Por exemplo, para fazer o seguinte funcionar: <script src="http://path/to/widget.js?param_a=1&param_b=3"></script> Existe uma maneira de fazer isso? Dois links interessantes: …

88 javascript  parameters  widget  xss  script-tag