問題タブ [html-injections]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - HTMLのサニタイズは困難を引き起こします
データベースからユーザー プロファイルを読み取り、表示します。それらを表示する前に、php htmlentities を介して HTML サニタイズを使用します。それらを正しく表示します。ただし、ユーザーが編集できるようにしながら、二重にフィルター処理されたように表示されます。
次に、入力内のアンパサンドは次のよう&
になります。変数をフィルター処理しないと、html インジェクションが心配されます。
私は何をすべきか?
c# - # タグを jquery し、リスト ビューで div id を動的に設定するにはどうすればよいですか
こんにちは皆さん、jquery id と listview div id の両方を動的に設定したかったのですが、良い例がなくてもインターネットを調べました。
そしてセット
リソースやアイデアへの良いリンクはありますか?
ありがとう
javascript - Javascript での HTML およびスクリプト インジェクションの防止
入力ボックスのあるページがあるとします。ユーザーは入力ボックスに何かを入力し、ボタンを押します。このボタンは、テキスト ボックスに入力された値を取得し、何らかの理由でそれをテキスト ボックスの下のページに出力する関数をトリガーします。
今、これは決定的な答えを見つけるのが非常に困難でした。または、私は尋ねませんが、この文字列をどのように出力しますか:
スクリプトが実行されず、HTML 要素が表示されないようにするには?
ここで私が本当に求めているのは、Javascriptで HTML とスクリプト インジェクションの両方を回避する標準的な方法があるかどうかです。誰もがそれを行う方法が異なるようです (私は jQuery を使用しているので、たとえばhtml要素ではなくテキスト要素に文字列を単純に出力できることはわかっていますが、それは重要ではありません)。
javascript - スコープ変数でhtmlを注入すると$scope.$applyが機能しない - AngularJs
ページに挿入しようとしているテンプレートがあります
テンプレートはメインの HTML ページに正しく追加されていますが$scope.$apply()、HTML を再解析するために使用すると、何かが変更されます。
ブレークポイントで確認しましたが、スコープには$scope.weeks必要な配列が含まれています。
これが私のコントローラーです
};
私が間違っていることについてのアイデアはありますか?
アップデート
$compile(htmlWeekTemplate)($scope); を試してみると、これが得られます。
html - インジェクションを防ぐためにhtmlをエスケープする
以下のようなサードパーティの電子メール サービスに送信する HTML の文字列を作成する Rails アプリを使用しています。
インジェクション攻撃のリスクがあるため、このような html を構築するときは常に html エンティティをエスケープするように同僚から言われました。インジェクション攻撃の基本は理解していますが、エスケープすることでそのリスクがどのように低下するか、また、エスケープするために何を使用すればよいかを誰か説明してもらえますか? Hamlの使用を検討していました。ありがとう!
google-chrome - 広告を避けるためにhtmlインジェクション(挿入)を防ぐ方法
ブラウザで広告を避けるという問題に直面しています。多くのツールを検索し、ブラウザに拡張機能を含めました。また、ブラウザを再インストールしましたが、ブラウザに広告が表示されるのを止めることができません。
これを止める方法はありますか?
前もって感謝します。
javascript - Buffer App のような HTML インジェクション
Buffer App は、プラグインをインストールした後、ブラウザーで表示するたびに、Twitter ページに追加のボタンを挿入します。バッファ ボタンは、Twitter のアクション (リツイート、引用など) の横に追加のボタンを配置する、インライン html として表示される単なる追加の共有ボタンです。
ソースを変更する Firebug またはブラウザー開発者モードでもこれを行うことができます。
WebページまたはフレームとJavaScriptを使用して同様のことをしたいと思います(フレームは必須ではありません)。
制御できない外部ページへのフレーム内リダイレクトを行うシナリオがあります。リダイレクト ページのみを変更できます。その外部ページからいくつかの DIV を非表示にする必要がありますが、JQuery を使用してもそれほど難しくありません。
ただし、JQuery を使用して (別のフレームまたは div 内の) 別のドキュメントのソースにアクセスし、それを変更する方法をまだ検討中です。
これを達成する方法について何かアドバイスはありますか?または、代替ソリューションがあれば、それも歓迎されます。
html - CodeIgniter での html インジェクションを防ぐ
codeignitor を使用してサイトを開発しました。XSS のセキュリティは使用できますが、html をフィルタリングできません。これにより、フォームと一部のメッセージ領域で html インジェクションが発生します。これにパッチを当てる方法を教えてください。
javascript - JavaScript - '<' のフィルタリングは、表示前に HTML を保護するのに十分ですか?
JavaScript で、すべての「より小さい」(「<」) 文字を除外して結果を HTML として表示すると、いたずらを引き起こす既知の文字列はありますか?
この質問は、特に ID のサニタイズに対応しています。一般的な HTML 文字列を探しています。理想的な答えは、コードやその他の潜在的に危険な要素を挿入する文字列の最も単純な実例です。