使用 php 保护简单所见即所得的最佳方法
我在我的网站中添加了一个简单的所见即所得编辑器。 (它只允许 B / I / U - 不再) 我目前将所有内容以 html 形式存储在数据库中 - 但添加 或其他恶…
使用 URL 从隐藏字段调用 AJAX XSS 安全吗?
在 jQuery 中做这样的事情是否安全? ... var url = $('#url'); $.ajax({ url: url, dataType: 'json', success: function(data) { $('message').html…
Todo 列出防止 xss 攻击的方法,哪些是最有效的?
我很想知道我们必须使用哪些最佳方法/技巧来防止 xss 攻击并使其变得困难? 我知道有: 使用 htmlspecialchars() 使用清理过滤器 使用 strip_tags() …
javascript 解除绑定 dom 事件
我正在开发一个 Web 框架,并尝试在其中构建 XSS 预防功能。我已经将其设置为转义传入数据以存储在数据库中,但有时您想保存用户生成的 html。我正在…
包含外部 CSS 文件是否安全,或者是否会导致代码注入?
我正在开发一个网站,客户将通过将其嵌入到其网站的 iframe 中来使用该网站。我想让他们能够自定义内容的样式,以便他们可以使其适合其网站的样式。 …
防止 javascript GET 和脚本
有没有办法将 Javascript Get、Post 请求限制到指定域? 我还可以以某种方式禁用 JSONP 吗? 我想开发一个 Web 内容框架,人们可以在不同的页面中包含…
我可以通过简单地禁用 XSS 过滤器来在 IE 中为任何/所有网站启用跨站脚本吗?或者还需要什么?
我想为某些站点启用跨站点脚本。具体来说,我想向第三方网站提交一个 Web 表单,我已经设置了 Web 表单对子 iframe 的响应的目标 iframe,现在我希望…
一旦某个内容被 HTML 或 URL 编码,它就应该被解码吗?编码足够了吗?
第一次使用 AntiXSS 4 用户。为了使我的应用程序更安全,我在 QueryString 参数上使用了 Microsoft.Security.Application.Encoder.UrlEncode 在表单字…
是否有必要添加缺失的结束标签作为清理 HTML 的一部分以防止 XSS 攻击?
我正在使用 Sanitize gem 来禁止可用于 XSS 攻击的 HTML 代码。副作用是,HTML 也会被清理。添加缺少的结束标签。这通常没问题,但在许多情况下它会改…
