問題タブ [client-side-attacks]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 不明な .php ファイルについて、Web サイトに対して HTTP GET 要求が行われています。これを防ぐ理由と方法
デジタル オーシャン ドロップレットにアプリケーションをデプロイしました。デプロイから約 1 日後、サーバーがクラッシュしました。最終的なログは次のようになります。
これは攻撃ですか?もしそうなら、そもそもクライアントがこれらのタイプの取得リクエストを行うのを防ぐにはどうすればよいですか?
python - Pythonのxlrdで「10億の笑い」DoS攻撃を防ぐ方法は?
Billion Laughs DoS 攻撃は、XML ファイル内のエンティティの展開を停止するだけで防止できるようです。Python の xlrd ライブラリ (つまり、何らかのフラグ) でこれを行う方法はありますか? そうでない場合、攻撃を回避するための推奨される方法はありますか?
security - XSS 攻撃ベクトル
ページに戻ってくるテキストフィールドからのサニタイズされていない入力以外に、Web サイトで一般的な XSS ベクトルは何ですか? Cookie 内の csrf トークンへの悪意のあるアクセスを防止しようとしています。テキスト入力から安全でない文字をエスケープしています (おそらく、データベースの挿入または UI への出力の前に、Java サーブレットにもそれを追加することになります)。サイトに入る XSS を探すには、他にどこを探すべきですか?
html - Jsoup はどのようにして XSS JavaScript をクリーンアップし、いくつかの HTML タグを維持できますか?
Jsoup を使用して、Java のアプリケーションで XSS 攻撃からいくつかの HTML 文字列をクリーンアップしたいと考えています。
<a>しかし、<img>タグも付けたいです。
このライブラリでこれは可能ですか?
javascript - Javascript はクライアント側のパスワードをメモリ内のページにまたがって保存します
パスワードをサーバーに送信/共有せずに、クライアント側でユーザーのパスワードを使用してユーザーのデータを暗号化するアプリに取り組んでいます。ユーザーはページ全体でデータを暗号化する必要があり、データを暗号化する必要があるたびにユーザーパスワードを尋ねたくありません。
アプリケーションを単一ページ アプリケーションにする必要がある 1 つのオプションですが、オーバーヘッドが大きくなります。別のオプションは、セッションのページ間でデータを保存する sessionStorage を使用することですが、単一ページ アプリのメモリ内変数と同じくらい安全かどうかはわかりません。