問題タブ [xss]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
5 に答える
22707 参照

security - アンチ XSS およびクラシック ASP

現在、従来の ASP アプリケーションを XSS から保護しようとしています。ネットで Microsoft の AntiXSS を見つけましたが、これは従来のアプリケーションで動作するのでしょうか?

そうでない場合、弦を消毒する方法を教えてください。

0 投票する
1 に答える
1216 参照

regex - 正規表現と XSS の「戦争」

私は常に、フォーラムやブログのような Web ソフトウェアを作成することに興味を持っていました。これは、限定的なマークアップを使用して HTML に書き直すものです。しかし最近、PHP について、「PHP BBCode parser -PEAR」をググってみて、いくつか試してみると、非効率的な混乱が生じるか、あちこちに XSS ホールのある貧弱なコードが得られることにますます気づきました。

前述の貧弱な BBCode パーサーの例を挙げると、どのように XSS を回避しますか? リンクを処理するための典型的な正規表現を取り上げます。リンクの脆弱性と回避方法について言及できます。

画像タグの処理は、これほど安全ではありません。

そのため、主に PHP の実装に固有の質問がいくつかあります。

  1. この例では、uri/url 検証式を使用してのみ一致させることをお勧めしますか? または、コールバックを使用(.*?)してから、入力が有効なリンクかどうかを確認する方がよいでしょうか? 上記で明らかなようにjavascript:alert('XSS!')、上記の URL タグでは機能しますが、URI マッチングが行われると失敗します。
  2. コールバック内のような関数はどうurlencode()ですか? (URI 標準に関する限り) 抑止力や問題になりますか?
  3. フルスタック パーサーを作成する方が安全でしょうか? それとも、そのようなものを開発して使用するために必要な時間と処理能力は、ページごとに複数の異なるエントリを処理するものには重すぎますか?

私の例は多くの例の 1 つであり、いくつかの例よりも具体的であることはわかっています。ただし、独自のものを提供することをためらわないでください。 そこで、テキスト解析状況における XSS 保護の原則とベスト プラクティス、および一般的な推奨事項を探しています。

0 投票する
5 に答える
1086 参照

php - セキュリティのために PHP タグをエンコードしますか?

KohanaCodeigniterの両方がありencode_php_tags()ます。XSS クリーニング (Javascript の場合) は理解していますが、いつ、どのような理由で を使用しencode_php_tags()ますか? セキュリティ上の脅威とは?

0 投票する
2 に答える
3878 参照

php - XSS 脆弱性ではない UTF-8 文字

XSS 攻撃を防ぐために文字列のエンコードを検討しています。現在、ホワイトリスト アプローチを使用したいと考えています。ホワイトリスト外の文字はすべてエンコードされます。現在、「(」のようなものを代わりに「(」を出力しています。私たちが知る限り、これでほとんどの XSS を防ぐことができます。

問題は、私たちには多くの国際的なユーザーがいて、サイト全体が日本語の場合、エンコーディングが帯域幅を大量に消費することです. 基本的な ASCII セット外の文字は脆弱性ではなく、エンコードする必要がない、またはエンコードする必要がある ASCII セット外の文字があると言って差し支えありませんか?

0 投票する
6 に答える
5445 参照

javascript - 独自のドメイン間の AJAX クロス サイト スクリプティング

とにかく、プロキシ ハッキング、JSONP、Flash、またはブラウザのセキュリティ変更なしで、2 つの独自のドメイン間で AJAX を許可する場合は? 多分SSLか何か?

0 投票する
3 に答える
1516 参照

xss - XSSの脆弱性を防ぐための対策(数日前のTwitterの脆弱性など)

Twitterのような有名なサイトでさえXSSの脆弱性に苦しんでいますが、この種の攻撃を防ぐために何をすべきでしょうか?

0 投票する
2 に答える
7641 参照

java - Struts で XSS 脆弱性を防ぐ方法

Struts アプリケーションにアンチ XSS サポートを追加する必要があります。最も具体的には、アーキテクトは、DB に保存する前に、すべてのユーザー入力を「サニタイズ」する必要があります。四角い車輪を再発明したくないので、これにはどの Java ライブラリを使用できますか? そして、どこに置くのですか?理想的には、構成可能 (すべての入力フィールドではなく、どの入力フィールドをチェックするか) で高速である必要があります。私の最初の考えは、Struts Validator です。

前もってありがとうルイス