問題タブ [xss]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - Dojo を使用してリモート CSV にアクセスする際の問題
Googleスプレッドシートでデータをホストし、dojoを使用してブラウザーでユーザーにデータを表示するWebサイトを作成しようとしています。
ただし、エラーが発生しています
ブラウザが遭遇したとき:
同じCSVのローカルに保存されたコピーに置き換えると、正常に機能します。
Google 検索でわかったことによると、これは、クロスサイト スクリプティング攻撃からユーザーを保護しようとする最新のブラウザーのセキュリティ制限によるものです。もちろん、私のページのためにこのドメインを「ホワイトリスト」に登録できるようにしたいと考えています。
助言がありますか?
完全な HTML コードは
前もってありがとう、Animesh
java - Java Web アプリケーションで SQL インジェクション攻撃と XSS を防ぐ方法
サーブレット フィルターによって呼び出され、インジェクション攻撃の試みと Struts に基づく Java Web アプリケーションの XSS をチェックする Java クラスを作成しています。InjectionAttackChecker クラスは、正規表現と java.util.regex.Pattern クラスを使用して、正規表現で指定されたパターンに対して入力を検証します。
そうは言っても、次の質問があります。
- インジェクション攻撃を防ぐために、すべての特殊文字と文字パターン (<>、.、-、<=、==、>= など) をブロックする必要があります。
- そのまま使用できる既存の正規表現パターンはありますか?
- いくつかの特定のケースでは、いくつかの特殊文字パターンを許可する必要があります。いくつかの例の値 (許可される) は (異なる値の区切り文字として「パイプ」| 文字を使用) *Atlanta | です。#654,8号館 #501 | 単純ヘルペス: 慢性潰瘍 (> 1 ヶ月持続) または気管支炎、肺炎、または食道炎 | FUNC & COMP(date_cmp), "NDI & MALKP & HARS_IN(icd10, yes)" . インジェクション攻撃と XSS を防止しながら、これらの文字パターンを許可するには、どのような戦略を採用する必要がありますか?
質問を明確に述べたことを願っています。しかし、そうしなかった場合は、2番目の質問であることをお詫びします。説明が必要な場合はお知らせください。
asp.net - HttpRequestValidationException を生成するコードを見つける場所または複製する場所
一部のページでいくつかの PageMethods ( でマークされたページ内の静的メソッド<WebMethod>
) が定義されており、ajax 呼び出しを使用してそれらを呼び出します。サーバーへのこの POST は、送信されたデータが XSS の可能性があると見なされた場合に HttpRequestValidationException を発生させる ASP.NET コードをトリガーしないようです。
そのコードの詳細またはどこで見つけられるか知っている人はいますか? 私はMS AntiXssライブラリを調べましたが、実際に入力をチェックするのではなく、エンコーディングのみを行います.AFAIK.
編集:または、同様のチェックを行うコードまたはライブラリの方向を教えてください。
security - HttpOnly Cookie をサポートするブラウザはどれですか?
HttpOnly Cookie をサポートしているブラウザーはどれですか? また、それ以降のバージョンは?
HttpOnly Cookie と XSS 防止の説明については、http://www.codinghorror.com/blog/archives/001167.htmlを参照してください。
php - Google カレンダーのリンク リダイレクト通知を回避するにはどうすればよいですか?
ウェブページに Google カレンダーを埋め込んでおり、サイトが組織している活動に関連するイベントがあります。一部のカレンダー イベントには、同じ Web サイト内のページにユーザーをリダイレクトするリンクがあります。このページには、詳細情報とイベントに登録するためのオプションがあります。
しかし問題は、先月末から Google が自動的にリダイレクトしないリダイレクト通知を課したことです。イベントで作成したリンクは Google によって変更されます。ユーザーがリンクをクリックすると、新しいタブが開き、ユーザーがクリックする必要があるリダイレクトの警告が表示されたページが表示されます。同じ Web サイト内へのリンクをユーザーに提供しているので、これは非常に不便で、まったく意味がありません。
ユーザーがカレンダーのリンクをクリックして、関連データを含む Web ページに移動できるようにしたいと考えています。
この警告を回避する方法を知っていますか?
私の思考プロセス:
当初、JS を使用してリンクを書き換えることを考えていましたが、カレンダーの iframe が別のドメインにあるため、XSS エクスプロイト (AFAIK) のためにブラウザーが許可しません。
独自の AJAX カレンダーを作成し、API を使用して Google のカレンダーと同期することはできましたが、意味のない愚かな「機能」のために、それは大変な作業です。グーグルのカレンダーが好きで使いたいです。
私が考えた 3 番目のことは、カレンダーに iframe を使用する代わりに、AJAX を使用してフレームの URL のコード全体を取得できるということでした。次に、そのコードのリンクを JS で書き直します。これは機能しますか?
どんな助けにも本当に感謝しています。これは私を狂わせています!
Jon Cram の入力を使用して、コードを解析して調整を行う php スクリプトを作成しました。ただし、htmlバージョンでしか機能しませんでした。私にはAJAXはありません。=(
url - 入力用にURLをフィルタリングする最良の方法は何ですか?
PHPのユーザーからのURLを受け入れるフォームがあります。
どの文字を許可または禁止する必要がありますか?現在使用しています
$ input = preg_replace( "/ [^ a-zA-Z0-9-\?:#。()\、/ \&\'\\"] / "、" "、$ string);
$ input = substr($ input、0,255);
したがって、255文字にトリミングされ、文字、数字、および?のみを含めることができます。--_:#()、&'"/
自分ではないものを削除する必要があるもの、または有効なURLに含める必要がある可能性のあるものを削除するものはありますか?
html - ホワイトリストに基づく (X)HTML 用の XSS フィルターの作成
CppCMS用に C++ でシンプルで効率的な XSS フィルターを実装する必要があります。PHP は C++ を使用した高性能なフレームワークであるため、既存の PHP で作成された高品質なフィルターは使用できません。
基本的な考え方は、HTML タグの while リストとこれらのタグのオプションのホワイト リストを持つフィルタを提供することです。例えば。典型的な HTML 入力は、、、
<b>
タグ<i>
、および を<a>
含むタグで構成できますhref
。しかし、許可された単純なリンクにも XSS が含まれている可能性があるため、単純な実装では十分ではありません。
そこには他にも多くの例があります。そのため、href/src などのタグのプレフィックスのホワイト リストを作成する可能性についても検討しました。(https?|ftp)://
質問:
- これらの仮定は、ほとんどの目的に対して十分に適切ですか? タグのオプションを指定せず
style
、プレフィックスのホワイトリストを使用して src/href をチェックすると、XSS の問題が解決するということですか? この方法で修正できない問題はありますか? - HTML/XHTML の正式な文法に関する適切なリファレンスはありますか?
<script>
php - mysql インジェクションとクロスサイト スクリプティングを防御する最善の方法
現時点では、前述の問題を阻止するために「壁にすべてを投げて、何がくっつくかを確認する」方法を適用しています。以下は、私がまとめた関数です。
ただし、これを行うためのより良い方法があると確信しています。私は FILTER_ SANITIZE_STRING を使用していますが、これは完全に安全ではないようです。
皆さんはどのような方法を採用しており、どの程度成功していますか? ありがとう
javascript - サーバーが関与しない XSS - これは危険ですか?
サイト訪問者が印刷用にページに注釈を付ける手段を提供する javascript のクライアントのみのソリューションと、XSS または同様の攻撃ベクトルの観点からの悪用可能性について議論してきました。
理由: 表示するデータを選択するプロセスが長くなる可能性があります。実行した手順を文書化するために、サーバーに転送することを想定していない任意のテキストをユーザーが書き込むことができるテキストエリア( formを囲むことなく) が提供されます。最初のテキストは静的です。たとえば、このフィールドの使用方法に関する短い一連の指示などです。そのため、攻撃者がこのテキストエリアに対して悪意のある JavaScript を含む URL を構築する (明らかな) 可能性はありません。
ユーザーがこのテキストを変更すると、ページ (およびメモ) が印刷されます。ユーザーがページを離れると、メモは失われます。
「散文エラーが多すぎる」場合のコード例を次に示します。
また:
- テキストがサーバー側で処理されることはなく、静的な説明 (「使用方法」) のみがサーバーからクライアントに送信され、クライアントからサーバーに送信されることはありません。
- ユーザーは、好きなように JavaScript 要素を追加して、自分自身を悪用する可能性があります。
- これがセキュリティ上のリスクをもたらすシナリオは考えられませんが、吐き気は残ります...
注: 問題は、このソリューションのエレガンスや、より快適なインライン編集を行うライブラリに関するものではなく、純粋に考えられるセキュリティ リスクに関するものです (もしあれば)。