HTML-Entity 转义以防止 XSS
我有一些用户输入。在我的代码中,我确保转义以下符号: & -> & < > -> > OWASP 指出还有更多要转义的字符。 对于属性,我做了另一种转义:…
跨站脚本:如何检查字符串
我有一根绳子。这是某些 html 标签的某些属性的值。 如何检查该字符串是否包含javascript? 例如(IMG标签的SRC属性): 1. - contains script 2. - c…
Chrome 不允许向允许的域发出 Ajax 请求
我正在创建我的第一个 Chrome 扩展程序,一个相对简单的扩展程序,带有一些 ajax 调用。 我的清单非常简单: { "name": "Read It Now", "version": "0…
MVC3 - 如何处理可以从用户输入(浏览器地址栏)添加结尾的 url 字符串
我认为问题很清楚。我想处理可由用户添加的 url 字符串。 例子; http://download.cnet.com/windows/script alert('hello') /script 或者 http://downl…
php,外部域的ajax认证
假设我有domain-a.com(A)和domain-b.com(B), 我希望能够在两个域之间共享php会话,统一登录,一旦用户登录到A,就会自动登录登录到 B,反之亦然…
一个 jQuery 实例,两个域
我有两个页面: a.example.com 和 b.example.com a.example.com 包含 jQuery a.example .com 包含一个指向 b.example.com 的 iframe, 两个页面都将 d…
在 JSON 中传递 JS 函数有哪些 XSS 危险?
创建一个 JSON 对象非常简单,如下所示: { "key": "value", "myFunction": function() { alert('hi'); } } } 其从服务器传递到脚本,我可以在其中调…
如何将另一个域的 XSL 应用到 XML
我有一个托管 www.mydomain.com/myxslt.xls 的 XSLT 文件,我想将其应用于 subdomain.mydomain.com 上显示的 XML。浏览器中的跨站点脚本限制禁止我从…
将自定义消息从 iframe 来宾发送到 iframe 主机,其中托管来自 portlet 的 HTML
我正在尝试使用 jQuery 将自定义消息从 iframe 来宾发送到 iframe 主机(我们正在开发来宾和主机)。来宾和主机位于同一域但位于不同端口。此外,ifra…
防止 Rails 中 escape_javascript() 输出中的 XSS
在我正在开发的应用程序中,客户端视图是根据数据库中的一些记录生成的。我首先生成记录的 JSON,将其保存在页面的变量中,然后使用 JS 构建界面。 问…
为什么我们不能有一些 AntiXss Literal html 标签
现在我正在学习网络安全、XSS 等。因为 XSS 基本上以客户端代理(网络浏览器)为目标,通过注入一些恶意代码,这些代码由经过身份验证的用户插入时由…
我的网站正在加载其他网站,导致其重定向到该网站
我的网站 http://moremariners.com 正在向 http://bookiemonster.com/ads.php(这甚至不是一个真实的页面),导致它重定向到移动浏览器上的页面。您可…
