-4
我读到有关AngularJS $ SCE并在其文件说,$ SCE使用 -什么是不安全的HTML?
有约束力的价值和在文档中使其 前消毒不安全的HTML
我想知道HTML代码片段如何损害任何Web应用程序。
任何人都可以解释一下有关'unsafe HTML'如何工作和伤害web应用程序的帮助吗?
A
回答
2
我不知道为什么所有的倒票。无论如何,我知道的最大的事情是避免XSS(跨站点脚本)的最佳实践。三个主要的规则是:
数据
- HTML逃跑之前插入不可信数据到HTML元素内容
- 属性逃生之前插入不可信数据转换成HTML通用属性
- 的JavaScript逃逸插入不可信数据转换为JavaScript数据值之前
- (实际上3.1)在HTML上下文HTML逃逸JSON值和读取JSON.parse
我觉得我可以单独解释他们,但这里的文章详细解释了一切:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
相关问题
- 1. 什么是C/C++中的“安全”和“不安全”代码?
- 2. 是什么让跨域ajax不安全?
- 3. 什么是“安全变量”?
- 4. 什么是运输安全?
- 5. 什么是IP安全?
- 6. 什么是春季安全
- 7. 什么是类型安全?
- 8. 为什么肥皂是安全的?为什么不使用HTTPS?
- 9. __caller__为什么不安全?
- 10. 这为什么不安全?
- 11. Drupal和HTML网站的安全漏洞是什么?
- 12. 什么是安全和不安全的CSS样式(我们将过滤什么,我们会允许什么)?
- 13. 什么是HTML中的全局属性
- 14. 为什么ConcurrentHashMap.putifAbsent是安全的?
- 15. 为什么是安全的弦
- 16. 什么是线程安全的对象
- 17. .net中的类型安全是什么?
- 18. JSF的安全性问题是什么?
- 19. 什么是vb.net中的类型安全?
- 20. 散居的安全问题是什么?
- 21. 你是什么意思Ruby on Rails不是线程安全的?
- 22. “这个方法不是线程安全的”是什么意思?
- 23. 为什么我的安全iframe被报告为不安全?
- 24. 为什么C#中的ArrayList不安全?
- 25. 为什么我的cookie不安全?
- 26. 追加安全HTML在Rails的不安全HTML 3.2
- 27. 什么是用例在春季安全
- 28. 什么是沟通渠道安全?
- 29. 什么是安全堆大小?
- 30. 线程安全是什么意思?
downvote的原因! –
不正确的html可能会打开攻击。请研究跨站点脚本,查询注入等 –