原始 HTML 是否应该在输出或输入时进行清理?
CakePHP 的 Data Santiziation 页面指出,应该将用户输入的可能原始 HTML 存储在一个人的数据库并在输出时进行清理: 为了针对 XSS 进行清理,通常最…
Zend Framework 输入/输出 XSS 过滤:Strip Tags、Textile、BBCode
在我的 CMS 应用程序中,管理用户可以通过所见即所得编辑器添加 HTML 内容,该编辑器由 HTMLPurifier 过滤。我现在想添加留言板功能。我计划使用 Zend…
使用 xss_clean 剥离 Codeigniter php 标签
为什么如果我传递 $_POST['string'] = "" 然后我用 echo $this- 将其传递给 xss_clean() >input->post('string',true); 输出为 <?php echo 'hey' ?…
使用 window.top.location 从画布应用程序共享对话框链接
当使用 JS SDK 共享来自应用程序的内容时,我尝试使用 window.top.location 作为链接属性。这是一个 iframe 画布应用程序。 当我发送 window.top.loca…
str_replace('<') 可以保护我们免受用户注入代码的影响吗?
好的,我有一些用户输入,我做了一个 echo str_replace('<', '<', str_replace('&','&',$_POST['input'] )); 我想知道,用户是否可以破坏此过滤器…
JSF 中的 CSRF、XSS 和 SQL 注入攻击预防
我有一个基于 JSF 构建的 Web 应用程序,并使用 MySQL 作为数据库。我已经在我的应用程序中实现了防止 CSRF 的代码。 现在,由于我的底层框架是 JSF,…
我们是否需要对资源使用 HttpUtility.HtmlEncode 来防止 XSS?
我们需要在我们的网站上使用 HttpUtility.HtmlEncode。我们需要将其用于资源吗?是否存在潜在威胁? …
使用 Rails 3 将您网站的功能嵌入到另一个网站中(XSS 与 iframe)
我们正在寻求将我们的一些模型的显示以及支付流程与我们的一些客户的网站集成。似乎每个人都在走 Iframe 路线,但与 XSS 技术相比,这看起来也相当过…
在经典 ASP 中过滤编码的 XSS
好的。我正在处理一个用 VBScript 编写的经典 ASP 应用程序。我正在尝试过滤可能通过编码查询字符串出现的 XSS。 我有一个简单的 XSS 消除功能 [getUs…
MongoDB / Django 表单的 XSS
我正在运行 100% NoSQL 后端 (MongoDB) 并使用 Django 进行开发。我正在构建的应用程序有很多不同的表单,出于各种原因,我试图避免使用 Django.Forms…
如何正确编码 mailto 链接?
我正在生成一些 HTML,并且想要生成 XSS 和数据库内容安全的 mailto 链接。这里使用的正确编码是什么?这怎么样? myLiteral.Text = string.Format( "…
