GWT RequestBuilder POST 和 XSS
我正在使用 GWT 2.1.1,在我的应用程序中,有一个失败的 RequestBuilder/POST(跨站点脚本 XSS)。主要原因是客户端和服务器的 url 不同: 开发模式下…
CodeIgniter - 为什么使用 xss_clean
如果我正在清理我的数据库插入,并且还转义我用 htmlentities($text, ENT_COMPAT, 'UTF-8') 编写的 HTML - 是否还需要使用 xss_clean 过滤输入?它还…
将 JSON 数据存储在数据库中有多危险?
我需要一种机制来存储在客户端 JavaScript 中创建的复杂数据结构。我一直在考虑使用 stringify 方法将 javascript 对象转换为字符串,将其存储在数据…
分号在sql注入和xss攻击中的作用
我被告知使用(python的)cgi.escape()函数来避免sql注入和xss攻击,尽管我确信django会自动转义变量。阅读有关此类攻击的文章后,在我看来,分号的作…
在 Python 中允许 Markdown,同时防止 XSS 攻击的最佳实践?
我需要让用户将 Markdown 内容输入到我的 Web 应用程序中,该应用程序具有 Python 后端。我不想不必要地限制他们的条目(例如不允许任何 HTML,这违背…
我的 MVC2 站点是否需要 crossdomain.xml 文件?
我在 MVC2 站点中收到以下错误:找不到路径“/crossdomain.xml”的控制器或未实现 IController。 根据一些研究,该文件似乎与防伪和跨站脚本 (XSS) 攻…
如何保护 ASP .NET Web 应用程序免受 XSS 侵害,同时保留输入的数据?
我和我的同事一直在争论如何最好地保护自己 免受 XSS 攻击,但仍保留输入的 HTML 字符 进入我们软件中的字段。 对我来说,理想的解决方案是接受数据(…
将通过 ajax 调用创建的表单数据发布到远程 url
我想执行一个两阶段的任务。第一个是我自己的服务的 AJAX 发布,该服务创建表单数据,例如“email=blah&dude=car”等。 在 AJAX 调用的回调中,我…
为什么 Webresource.axd 尝试“下载”?当我在此 URL 中引用它时?
我有人在网站上进行渗透测试,他们正在尝试利用 WebResource.axd 我很困惑,因为每当我尝试他的 URL 时,我要么尝试将其下载到 IE 中的文本文件,要么…
如何允许使用 MathJax 的 Asp.net MVC 3 Web 应用程序接受用户输入 $xz$?
我正在使用 Asp.Net MVC 3 + Razor + MathJax 开发一个数学网站。 MathJax 是一个 JavaScript 库,用于在 Web 浏览器上呈现 TeX 或 LaTeX 代码。 TeX …
防止 PHP 中不受信任的来源发生注销操作
我的网站中有一个操作: http://mysite.com/User/Logout 这将使当前用户退出他/她的会话。由于这是一个简单的 GET 请求,恶意用户可以创建指向此页面…
没有任何输入的页面中 URI 中的 XSS
XSS攻击是通过用户输入进行的吗? 我收到过这样的攻击: '"--></style></script><script>alert(0x002357)</script> 使用 acunetix …
