問題タブ [sanitization]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
1315 参照

security - 私のソフトウェア/ウェブサイトで XSS 攻撃をテストするためのテキスト/コード

まず、この質問に悪意はありません。どのテキストをコピーしてテキスト領域とテキスト ボックスに貼り付けてテストし、それらが正しく削除されているかを確認したいと考えています。

現在、私は次のように制限されたものを使用しています:

私のサイトが XSS 耐性があるかどうかを確認するためのテストの包括的なリストを誰かが提供または提案できますか?

お時間をいただきありがとうございます。

0 投票する
1 に答える
1508 参照

php - テキストをサニタイズするために mb_convert_encoding を呼び出すのはなぜですか?

これは、この(優れた)回答を参照しています。彼は、PHP で入力をエスケープするための最善の解決策は、mb_convert_encoding に続いて html_entities を呼び出すことだと述べます

しかし、なぜ mb_convert_encoding を同じ to パラメーターと from パラメーター (UTF8) で呼び出すのでしょうか?

元の回答からの抜粋:

HTML タグの外側で htmlspecialchars($string) を使用しても、マルチバイト文字セット攻撃ベクトルに対して脆弱です。

最も効果的な方法は、次のように mb_convert_encoding と htmlentities を組み合わせて使用​​することです。

これには、私が見逃している何らかの利点がありますか?

0 投票する
2 に答える
435 参照

c# - ユーザー入力ライブラリ.NETのクリーンアップ

Webサイトからのユーザー入力を検証/クリーンアップするために誰もが使用する.Netライブラリはありますか。どの正規表現をいつ使用するかを説明する投稿がたくさんあるようです。私は車輪の再発明を頻繁に行うのが好きですが、ユーザー入力で線を引きます。

ほとんどの場合、SQLインジェクションについては心配していませんが、HTML入力と想像できない入力について心配しています。それがこのように機能するためには、私の顔に笑顔を浮かべるでしょう:

誰かこのようなものがありますか?(前もって感謝します)

0 投票する
2 に答える
2350 参照

perl - Perl CGI HTMLフォームのファイルアップロード入力フィールドをサニタイズする必要がありますか?

HTMLフォームからの入力をサニタイズする必要があることは理解していますが、最近のモジュールでファイルアップロードフィールドをサニタイズすると、ファイルのアップロードが失敗し始めました。すべてのフォーム入力をサニタイズすることが重要ですよね?特別なファイルアップロードフィールドでさえ?

私のフォーム出力コードは次のようになります。

そして、私のサニタイズコードは次のようになります(実際には上記と同じモジュールの前にあります):

最近サニタイズコードを追加したところ、ファイルのアップロードが失敗し始めました。ファイルハンドルは、次の行で未定義を返しています。

それで、私はサニタイズコードで何か間違ったことをしましたか?そのコードスニペットはインターネットのどこかから入手したので、すべてを完全に理解しているわけではありません。'o'正規表現修飾子を見たことがなく、HTML::Entitiesモジュールを使用したこともありません。

0 投票する
2 に答える
412 参照

javascript - コード ブログの入力をサニタイズする

送信用のユーザー入力フォームがあるコード ブログがあります。そのフォームに含まれるものはすべて、いずれかのページに表示されます。これはコーディングのブログなので、入力から HTML タグや JavaScript コードを削除したくはありませんが、どの時点でも実行したくありません。入力を無害にする最善の方法は何ですか? 徐々に交換<するだけ&lt;で十分>です&gt;か?

(情報として、サーバーは GAE になり、入力は Python 変数で渡され (ただし評価はされません)、TextProperty に格納されます)

0 投票する
7 に答える
863 参照

asp.net - HTMLのスクリプトとフォームタグを削除(または無視)するための最良の方法は何ですか?

SQLにHTMLとしてテキストを保存しています。ユーザーはどこからでもコピー/貼り付けして、使用しているエディターコントロールに貼り付けたり、生成されたHTMLを手動で編集したりできるため、このデータが整形式であるとは限りません。

問題は、ユーザーのテキストがWebアプリケーションの他の場所に表示されたときに、含まれているページの通常の操作を中断しないように、タグ<script/>を削除するか、何らかの方法で無視するための最善の方法は何ですか。<form/>

私は<script>/の「検索と置換」を単純に実行するというアイデアをいじくりまわしまし<form><div>(明らかに、空白と終了タグが存在する場合はそれを考慮に入れます)。また、特定のタグをなんらかの方法で「無視」する方法もあります。<div id="MyContent">私が知っている限りでは、、扱い<form>、および<script>としてのすべての要素に対して、(HTML、CSS、またはJavaScriptで)「」という組み込みの言い方がある可能性があります<div>

どんな助けやアドバイスも大歓迎です!

0 投票する
3 に答える
906 参照

language-agnostic - GET および POST データのみをサニタイズすると、インジェクションから安全になりますか?

インジェクション攻撃を防ぐためにデータをサニタイズする最善の方法を考えているところです。出力の直前、またはデータベースへの挿入の直前にサニタイズするのが好きな人もいますが、これには 2 つの問題があります。(2) 消毒しすぎたら?出力に悪影響を与えるわけではありませんが、すでに安全であることがわかっているものをサニタイズする意味はあまりありません。

たとえば、使用する代わりに PHP では、次のようなものでそれらをラップできませんでした$_GET:$_POST

それとも、それだけでは十分ではないでしょうか? 他に悪意のあるコードが侵入できる場所はありますか?


以下の回答を読んだ後、この質問が少しばかげていることに気づきました。データベースに挿入するか、HTML を出力するかによって異なります。その場合は、使用直前に行った方が良いかもしれません。それは大丈夫ですが、出力メソッドをラップするのも簡単です...

0 投票する
3 に答える
43367 参照

php - $ _GETパラメータをサニタイズして、XSSやその他の攻撃を回避します

コンテンツをテンプレートに埋め込むためのinclude()を含むphpのWebサイトがあります。ロードするページはgetパラメーターで指定されます。パラメーターの最後に「.php」を追加し、そのページを含めます。XSSやその他のものを避けるためにセキュリティチェックを行う必要があります(データベースがないため、mysqlインジェクションではありません)。私が思いついたのは次のとおりです。

入力をさらにサニタイズするために他にできることはありますか?

0 投票する
3 に答える
452 参照

code-injection - UniData の入力のサニタイズ

UniData クエリの入力をサニタイズする機能を提供できる人はいますか? または、削除するもののリストを提供しますか?