問題タブ [xss]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - サーバー変数をページにエコーするときに、すべてのベースをセキュリティでカバーしましたか?
いつも使っているフォームで
フォームを自分自身に送信するため。
striptags()誰かがリンクしている場合に使用します:
XSS 攻撃から保護するために、すべてのベースをカバーしましたか、それともより多くのホワイトリスト アプローチを使用する必要がありますか?
ありがとうございました!
php - 内部で htmlspecialchars() 変数を使用する必要があり
XSSを防ぐために、安全でない変数<title>または他のタグをフィルタリング/エスケープする必要がありますか?<head>
c# - DataBinder.EvalのXSS
次のC#コードビハインドのどこにXSSの可能性がありますか?
これは修正できますか?ありがとう。
javascript - クロス フレーム スクリプトで選択したテキストを取得する
私は数時間問題に取り組んできました。私の目標を達成するための助け、または私がやろうとしていることが実際には不可能であることを確認していただければ幸いです。
document.getSelection()任意の Web ページから、選択したテキスト () を入力として受け取る webapp があります。ブックマークレットを使用してこのようなスクリプトをかなり簡単に実行することは可能ですが、iframe でこれを実行できれば、エンド ユーザーにとって最善の方法です。
親フレームは、このスクリプトを使用した私のサイトです。
子フレームには任意のサイトがあります。子ドキュメントが私のドメインのものでない限り、XSS セキュリティ上の理由からアクセスは禁止されています。srcサードパーティの URL を引数として iframe をドメインに設定し、サードパーティの URL にリダイレクトするなど、いくつかのバリエーションとハッキングを試みました。ある意味では、うまくいかなくてよかったです(もしうまくいったとしても、XSSセキュリティにはまだ長い道のりがあるからです...)
別のオプションは、サードパーティのページをダウンロードして、プロキシサーバーのように私のドメインから提供することですが、ファイルへの相対パスに関する多くの問題に既に遭遇しました。 (スクリプト経由でファイルにアクセスする場合など)。
私は運が悪いだけかもしれないという結論に達しました。.getSelection()おそらく、私の場合の重要な違いは、子のメソッドにのみアクセスしたいということです。Cookie やキーストロークにアクセスしたり、DOM と対話したりする必要はありません。多分それは違いを生まないかもしれませんが、多分そうです。
php - サイトでのセキュリティ スキャン
私は最近、私が取り組んでいるサイトの 1 つに対してセキュリティ監査を実行しました。これは Acunetix Web Vulnerability Scanner で行われました。これは、私が整理している一連の結果で返されました。
XSS に関するヒットがたくさん出てきましたが、誤検知かどうかはわかりません。
次のようなコード:
XSS に対応するように戻ってきています。クエリ文字列を含むページは、XSS に対して開かれている可能性があるとして戻ってきますか?それとも、私がこのサーバー側を処理していることを知るのに十分なほど賢いですか?
助けてくれてありがとう。
richtextbox - Javascript Rich Text Editor and associated class to filter and clean the input?
I realise there are several rich text editors for jQuery but I cannot find any that have an associated class that does the filtering and cleaning required to accept the input into a database.
Does such a class exist?
I am particularly interested for a PHP library, but .NET would be interesting too.
ruby-on-rails - Rails で HTML をエスケープする
Rails アプリの XSS 脆弱性を防ぐために HTML をエスケープする推奨される方法は何ですか?
ユーザーがデータベースに任意のテキストを入力できるようにする必要がありますが、表示するときにエスケープする必要がありますか? 入力をエスケープするために before_save フィルターを追加する必要がありますか?
php - ユーザーがリスクなしで HTML コードを挿入できるようにするにはどうすればよいですか? (技術的なリスクだけではありません)
ユーザーが LAMP 環境 (debian、apache、php、mysql) で Web サイトの一部の側面 (はい、ある種の cms) を動的に管理できるようにする Web アプリケーションを開発しました。
たとえば、彼らは私のサーバーのプライベート エリアでニュースを作成し、これは cURL リクエスト (または ajax) を介して Web サイトに公開されます。
ニュースは WYSIWYG エディターで作成されます (現時点では fck、次の将来には tinyMCE になる可能性があります)。
したがって、html タグを禁止することはできませんが、安全にするにはどうすればよいでしょうか? どのようなタグを削除する必要がありますか (javascript?)? それはサーバーセーフであることを意味します..しかし、「法的に」安全であるにはどうすればよいですか? ユーザーが私のアプリケーションを使用して xss を作成した場合、法的な問題が発生する可能性はありますか?