問題タブ [javascript-injection]

文字列が挿入される前に文字列を実行できる優れたライブラリを知っている人はいますか? jsp ページで実行します。

理想的には、ライブラリは次のようになります。

• 無料
• 軽量
• 使いやすい

喜んで返信してくれるSOコミュニティに事前に感謝します:)

VB.NET Web アプリケーションで JavaScript インジェクションを防ぐ最善の方法は何ですか? pageload イベントで JavaScript を無効にする方法はありますか?

最近、vb.net 製品のセキュリティ計画の一部として、特定のユーザーが使用できないページ上のボタンを単純に無効にすることがありました。しかし、私はタイピングのアイデアを考えた人に知らせました

javascript:alert(document.getElementById("Button1").disabled="")

アドレスバーでボタンを再度有効にします。他の誰かが以前にこのような問題に遭遇したことがあると確信しているので、助けていただければ幸いです。ありがとう！

更新: ユーザー入力の検証以外に、アドレス バーから Web サイトをいじられないようにするにはどうすればよいですか?

私はasp.netmvc学習サイトでJavaScriptインジェクションについて読んでいて、それは目を見張るものです。

JavaScriptを使用して奇妙なお尻のインジェクション攻撃を行う人については、私は気づかなかったし、考えたこともありませんでした。

しかし、それは私にいくつかの未回答の質問を残しました。

初め

いつhtml.encodeを使用しますか？そのユーザーまたは他のユーザーが送信した情報を表示する場合にのみ使用しますか？

それとも私はそれをすべてに使用しますか？ユーザーが送信するフォームがあると言うように、この情報はどのユーザーにも表示されません。引き続きhtml.encodeを使用する必要がありますか？

sayとHtml.TextBox（）にhtml.encodeタグを入れる方法がわからないようにするにはどうすればよいですか。

2番

何が起こるか私は私のサイトに豊富なhtmlエディタを持っていると言います。ユーザーはそれを使用して、物事を大胆にすることができます。次に、ラベルを介してユーザーに情報を表示したいと思います。Htmlをエンコードできません。それ以降、すべての太字などがレンダリングされなくなります。

それでも、ユーザーがJavascript攻撃を追加するのを阻止するのは何なのでしょうか？

だから私は何をしますか？正規表現を使用してすべてのタグを除外しますか？

第3

「AntiforgeryToken」と呼ばれる別のタグもありますが、これをいつ使用しますか？

ありがとう

編集

ほとんどの人が「ホワイトリスト」と「ブラックリスト」を使用すると言いますが、このリストをどのように記述して、受信する値と比較しますか（C＃の例がいいでしょう）。

asp.net mvc (C#) アプリケーションで JavaScript インジェクションを処理するにはどうすればよいですか?

ビューで Html.Encode を使用できます。しかし、問題は、ブログ投稿のようにページに表示する html もあるということです。

アプリケーションの入力要素に入力されたスクリプトを削除する必要がありますか? 共通の場所でそれを行うにはどうすればよいですか？

こんにちは、マークアップ エディタを使用してフィールドの 1 つの値を取得し、それを SQL Server 2008 データベースに保存しています。問題は、エディターにスクリプト タグと JavaScript を持ち、悪意のあるスクリプトを挿入し、検証入力が false になっていることだと思います。スクリプトタグをチェックして削除するカスタム検証メソッドを作成する方法を誰かが提案できますか...または、実行する必要がある手順を案内するだけですか?...また、私がすべきことは他にもありますか?心配..？

機密情報が提供されないように、PHP WebアプリケーションでJavaScriptインジェクションが発生するのを防止または阻止するために必要な対策は何ですか（PHP、HTML / XHTML、およびJavaScriptのベストプラクティス）。