在 JSON 中传递 JS 函数有哪些 XSS 危险?
创建一个 JSON 对象非常简单,如下所示: { "key": "value", "myFunction": function() { alert('hi'); } } } 其从服务器传递到脚本,我可以在其中调…
如何将另一个域的 XSL 应用到 XML
我有一个托管 www.mydomain.com/myxslt.xls 的 XSLT 文件,我想将其应用于 subdomain.mydomain.com 上显示的 XML。浏览器中的跨站点脚本限制禁止我从…
将自定义消息从 iframe 来宾发送到 iframe 主机,其中托管来自 portlet 的 HTML
我正在尝试使用 jQuery 将自定义消息从 iframe 来宾发送到 iframe 主机(我们正在开发来宾和主机)。来宾和主机位于同一域但位于不同端口。此外,ifra…
防止 Rails 中 escape_javascript() 输出中的 XSS
在我正在开发的应用程序中,客户端视图是根据数据库中的一些记录生成的。我首先生成记录的 JSON,将其保存在页面的变量中,然后使用 JS 构建界面。 问…
为什么我们不能有一些 AntiXss Literal html 标签
现在我正在学习网络安全、XSS 等。因为 XSS 基本上以客户端代理(网络浏览器)为目标,通过注入一些恶意代码,这些代码由经过身份验证的用户插入时由…
我的网站正在加载其他网站,导致其重定向到该网站
我的网站 http://moremariners.com 正在向 http://bookiemonster.com/ads.php(这甚至不是一个真实的页面),导致它重定向到移动浏览器上的页面。您可…
用于表单验证的 ReqEx 表达式
我正在尝试向我的 html 网站添加表单验证,以防止 xss 注入攻击。 我正在使用一个简单的 java 表单验证器 genvalidator_v4.js,它允许我使用正则表达…
strip_tags() 是否处理嵌入标签
我不在安装了 PHP 的计算机上,想知道 strip_tags() 对以下文本的结果是什么: "ipt>警报('哦哦')ipt>" 它会返回: “警报('哦哦')” (即没有意识…
为什么 fetchArray 不直接应用 htmlspecialchars ?
为了避免 SQL 注入和 XSS,我们使用函数 htmlspecialchars() 或其他函数,如 escapeString。 如果我们每次构造 SQL 查询并获取结果时都必须使用此函数…
