如何正确编码 mailto 链接?
我正在生成一些 HTML,并且想要生成 XSS 和数据库内容安全的 mailto 链接。这里使用的正确编码是什么?这怎么样? myLiteral.Text = string.Format( "…
在 HAML 的 markdown 中转义 HTML
在 Rails 3.1 中,是否可以在 HAML 的 markdown 中转义 HTML 以避免 XSS?我的意思是当你做这样的事情时: :markdown Hello #{@user.name} 谢谢。…
在文本区域中显示未经处理的用户输入是否存在风险?
我按以下顺序保存用户输入的两个版本: 不受信任的用户输入原始降价。 原始降价存储在一张表中。 原始 Markdown 的副本将转换为 HTML。 HTML 被清理和…
关于跨站脚本(XSS)的另一个问题
Closed. This question is off-topic. It is not currently accepting answers. 想要改进此问题吗?更新问题,使其关于- Stack Overflow 的主题。 13…
Ajax.Request 到外部站点:是否 XSS?
我认为下面的内容不起作用,因为我正在尝试 XSS,但我尝试执行本地端口重定向来确认,但它仍然不起作用。有人可以告诉我这是否是 XSS,如果不是,为什…
JSF 请不要转义我的 html
从 dbms 我得到像 这样的东西abc。当它到达我的 xhtml 文件中的 ${someManagedBean.someValue} 时,输出将被清理。这对于 99,999% 的情况来说都很棒。…
使用 BBCodes...解析 HTML 还是完全删除它? (XSS/PHP)
我正在 PHP 中创建一个迷你论坛,我希望允许用户发布具有有限文本格式和嵌入图像的帖子,但我想安全地做到这一点(XSS 方面),我想知道下面的最佳方…
确保 iframe 内容无法通过 javascript 访问父级
虽然我知道如果域、协议等不匹配,xss 规则应该适用于 iframed 内容,但我想知道是否有任何方法可以进一步确保 iframed 内容无法通过 javascript 访问…
如果已经使用 FILTER_VALIDATE_EMAIL,FILTER_SANITIZE_EMAIL 是否毫无意义?
我只是创建一个注册表单,我只想将有效且安全的电子邮件插入数据库。 为了安全起见,一些站点(包括 w3schools)建议先运行 FILTER_SANITIZE_EMAIL,…
显示 Javascript“同源策略”违规行为
我正在开发一个运行简单 HTTP 服务器和 WebView 的移动应用程序。 WebView 显示一个外部网站,该网站应通过 javascript (GET) 访问服务器。不幸的是,…
htmlspecialchars() 应该用于输入信息还是输出之前?
我获取 $_POST 信息并将其存储在数据库中,稍后查询并将此信息打印给用户。我应该在插入此信息之前使用 htmlspecialchars() 还是在查询它之后然后输出…
这个preg_match能成功阻止XSS吗?
我读到,即使您剥离 您仍然容易受到 XSS 攻击。 我发现一个有趣的答案是这个 t>alert(1337) 你如何评估这个 preg 匹配? echo preg_replace('/]*>(.*?…
