問題タブ [cross-site]

iframeを使用してウェブサイトを読み込む方法を理解しようとしていますが、すべてのリンクをサイトに通すようにしています。ありがとう。

私のアプリケーションには、クロスサイトスクリプティングの脆弱性がたくさんあります。すべてのクロスサイトスクリプトを回避/排除するために、共通のC＃関数が必要です。

テキストボックスを持つ ASP.NET フォームがあります。ユーザーは任意の文字、数字などを入力できます。ユーザーが危険な文字をフィルター処理するように制限する必要はありません。しかし、クロス サイト スクリプティングを防止する必要があります。

ユーザーは、次のように alert('hi') のような任意のテキストを入力できます。

データはDBにそのまま保存する必要があります。また、そのままの形で戻ってラベルに表示する必要があります。

クロスサイトスクリプティングなしでこれを達成するにはどうすればよいですか

オートコンプリートの XML フィードは別のサーバーにあります。この XML ドキュメントを取得するクライアント側 (javascript) メソッドはありますか?

php、jspなどでプロキシを作成できることは知っていますが、すべてクライアント側で行う必要があります。これは、同じドメイン上にある場合にのみ機能するファイルを呼び出す方法です。

PHPで書かれたWebアプリケーションがあります。テンプレートエンジンはSMARTYです。私の質問は非常に単純ですが、答えはそれほど簡単ではないはずです。

ポート 80 に telnet で接続し、次のコマンドを実行すると:

サーバーは html ページで応答します。この HTML ページを保存してブラウザーで開くと、ページの上部にアラート (123) が表示されます。これは、サイトがクロスサイト スクリプティング (XSS) に対して脆弱であることを意味します。

私の質問は、ユーザーが入力した実際の URLにアクセスしてサニタイズするにはどうすればよいですか? フォームまたはデータベース クエリのユーザー入力のサニタイズに関しては、実際には操作する変数が手元にあるため、シナリオははるかに簡単に見えますが、ユーザーがブラウザーに入力した実際の URLの場合、どうすればよいでしょうかURL自体を取得してサニタイズしますか?

参考までに、XSS 防止用のライブラリ関数を提供するすべてのモジュールを既に読みましたが、実際の URL XSS 攻撃に対処する方法の例はありません。ちなみに、magic_quote_gpc私のphp設定はすでにオフになっています。私は今どうすればいい？何かご意見は？

多数のランダムな Web サイトの iframe を動的に生成しています。サムネイル画像にフォールバックできるように、iframe をサポートしていないサイトを知りたいです。Facebook、Twitter、Youtube などのサイトが iframe をサポートしていないことは既に知っていますが、より包括的なリストを誰かが持っているかどうか疑問に思っていました。

最近JSONPを知ったので、いくつかのドットを接続するのに問題があります。これが私の理解です：

• 同一生成元ポリシーにより、コンテンツ（JSONを含む）のクロスドメインXmlHttpRequestsは禁止されています。これにより、XSRFから保護されます。
• JSONPを返すsrcを持つスクリプトタグを持つことが許可されています-Javascript関数の呼び出し内に埋め込まれたJSON（「Foo」など）
• JSONPデータが返されるときに呼び出されるページに「foo」の実装を含めることができます。また、関数が渡されるJSONデータを使用して処理を行うことができます。

クロスドメインデータをJSONP経由で受信したが、JSON経由で受信した場合は受信できないのはなぜですか？

JSONはXSRFを許可する傾向がありますが、JSONPは許可しないという仮定はありますか？もしそうなら、JSONPがXSRFを有効にするデータを提供しない事実上のデータ形式である以外に理由はありますか？なぜJSONPであり、代わりにXMLの任意のルートタグではないのですか？

よろしくお願いします。うまくいかなかったので、また脳を動かしてください。

一部のサイトでクロスサイトスクリプティングを有効にしたい。具体的には、サードパーティのサイトにWebフォームを送信したいのですが、子iframeへのWebフォームの応答のターゲットiframeを設定しました。次に、メインウィンドウのコードで応答Webページのコンテンツを取得します。

Internet ExplorerでXSSフィルターを無効にするだけで上記を実行できると仮定して正しいですか？それとも何か他のものも必要ですか？また、Firefoxでクロスサイトスクリプティングを有効にするにはどうすればよいですか（同じシナリオの場合）。

私はまだ CakePHP の初心者で、現在、それを使用して 1 つの (かなり複雑な) アプリケーションを作成してデプロイしています。ユーザーとグループを完全にサポートしており、アクセステーブルとすべてを機能させるのに時間がかかりました。

今、私は別のアプリケーションを作成しています。最初はまったく新しい CakePHP インストールを作成したばかりでしたが、後で最初のアプリに基づいてユーザーを認証したいことに気付きました。現在、彼らは異なるデータ ソースを使用しています。さまざまな長所と短所があり、これを達成できる方法がいくつかあることを理解しています。私は：

1. それらを分離し、拡張アプリケーションにデータ ソースを追加し、ユーザー認証コードを移植しますか?
2. それらを別々に保ち、最初のアプリケーションでログインを処理し、通信プロトコルを使用してそのデータを 2 番目のアプリケーションと何らかの方法で共有しますか?
3. それらを 1 つのデータ ソースに結合し、アプリの複雑さが増すことを受け入れますか?
4. 全然違うもの？

CakePHP を使用して、同じホスト/ホスト名で実行され、同じ MySQL サーバーに接続する両方のサイトを作成しています。ユーザーは常にメイン アプリケーションで保存/作成され、2 つ目のアプリから受動的にアクセスする必要があります。

ウェブサイトに jplayer があり、いくつかのプレイリストが埋め込まれています。これらのプレイリストを有効にするには、次の関数を使用します。

これは非常にうまく機能します。

今、同じウェブサイトの他のページで、特定のプレイリストをロードしたいと考えています。click() 関数を使用しているため、これは機能しません。

そのために私は何をすべきですか？

どうもありがとうございました。