Articles of xss

Django: validazione sicura dell’input HTML non attendibile

Voglio purificare l’input dell’utente in Django. So che c’è Django Html Purifier ma forse c’è qualcosa di più leggero? Cosa succede se i tag che vorrei consentire agli utenti di utilizzare sono molto limitati, ad esempio solo ? Forse c’è qualcosa di incorporato Django che potrei usare?

Disinstalla testo codificato in html (notazione #decimale) dall’output di AntiXSS v3

Mi sto legando per fare commenti in un motore per blog XSS-safe. Ho provato un sacco di approcci diversi ma lo trovo molto difficile. Quando visualizzo i commenti che sto usando per la prima volta Microsoft AntiXss 3.0 in html codifica tutto. Quindi sto cercando di decodificare in HTML i tag sicuri usando un approccio […]

Qualcuno può modificare file javascript offline per eseguire codice dannoso?

Sono preoccupato per qualcosa relativo ai file javascript del mio sito Web, non sono sicuro che sia fattibile. I file Js verranno scaricati quando qualcuno visita un sito Web, e se qualcuno ha modificato lo script js scaricato e inserito il proprio codice, quindi ha aggiornato il sito web. Nel nuovo aggiornamento il sito Web […]

Javascript: Rileva / Impedisci script esterni

È ansible rilevare script esterni che potrebbero essere caricati in una pagina da componenti aggiuntivi del browser, un proxy, xss, ecc.? Dì che ho questa pagina web: Hello world! Hello world! Sarebbe ansible includere alcuni script nel mio file script.js grado di rilevare quando altri elementi di script nella pagina non provengono da http://mydomain.com ? […]

Sfuggi ai contenuti generati dagli utenti – Che cosa significa?

Sto iniziando a utilizzare il pulsante Condividi da Google. In realtà sto usando il link Condividi, e ad un certo punto nei documenti dice questo: Nota: sostituisci {URL} con l’URL della pagina che desideri condividere. Devi sfuggire correttamente a qualsiasi contenuto generato dall’utente che potrebbe verificarsi all’interno di {URL} Cosa significa, e come posso sfuggire […]

Evitare XSS quando si esegue il richiamo di HTML POSTed

Ho una pagina web che deve fare quanto segue: crea dynamicmente un frammento HTML usando JavaScript apri una nuova finestra mostra l’HTML nella nuova finestra Il mio primo approccio usato document.write per copiare l’HTML nella finestra. Questo funziona nella maggior parte dei casi, ma causa problemi con Internet Explorer quando la finestra originale ha impostato […]

Evitare la doppia codifica in durante l’utilizzo di htmlspecialchars

Supponi di avere un testo per il nome di un utente e decidono di digitare Johnny’s Pizza Questo è salvato in DB come Johnny’s Pizza Ma se l’utente decide di modificare, ripopolare il testo come segue echo form_input(‘name’, htmlspecialchars($name, ENT_QUOTES, ‘UTF-8′)); che mostrerà come Johnny's Pizza all’interno del campo di input. PHP.net ha un commento […]

È ansible ricaricare iframe in una rapida successione?

Attualmente sto lavorando a un progetto che include il test dei payload XSS in diversi browser. L’objective è scoprire se i payload funzionano ancora o no. Il modo in cui mi sto avvicinando a questo problema è caricando ogni payload in un iframe separato o nuovo. Dato che testerò una tonnellata di payload, non è […]

Prevenzione SQL di XSS

Ciao ragazzi, quindi ho una domanda, c’è qualcosa che potrei usare quando inserisco i dati nell’SQL per prevenire l’XSS? Invece di leggerlo. Per esempio ho un po ‘di output dal mio sql che sono generati dall’utente, è ansible renderlo sicuro su Entering SQL o devo renderlo sicuro quando lascia SQL? TL: DR posso usare qualcosa […]

Previene l’iniezione del codice di caricamento dell’immagine

Ho una forma che l’utente riempie di informazioni sui testi e carica una copertina di un album. I dati inviati verranno inseriti in un database e la copertina dell’album verrà spostata in una sottocartella. localhost/project-folder/covers Ho preso alcune precauzioni (escaping, dichiarazioni preparate) contro SQL Injection per l’input del modulo. Recentemente, ho imparato che devo anche […]