xss

    0热度

    1回答

    安全小组将以下代码报告为跨站点脚本。  redirect: function redirect(ajax, response, status) {   window.location = response.url;  }); 他们给了写作的样品中更好的方式 $(document).ready(function(){ $("#myDiv").on("click", "button",

    0热度

    1回答

    能够做到这一点的JSP和Java文件,怀疑如何在一些.js文件使用xssAPI.encodeForJSString(“”)的土坯cq5.6文件 这是通过强化工具 为js文件中的以下代码报告的xss问题 window.location.href = window.location.href +(“?mode = view”);

    0热度

    1回答

    对不起,对我的英文不好! 正如我正在学习PHP,并有一些关于从数据库中插入和输出数据的问题。 我正在使用PHP PDO。 要插入的数据我使用下面的函数数据库:所以 public static function validate($string){ $string = trim($string); $string = htmlspecialchars($string, ENT

    0热度

    1回答

    我正在看an article并在React中编写向导,并且每一步都与一个URL关联。作者使用URL的“散列”部分来指定步骤,并将其分配给this.state.currentStep。他们评论说这是不安全的。 class BasicWizard extends React.Component { constructor() { this.state = { steps

    2热度

    2回答

    最近我遇到了XSS问题。我搜索并阅读了很多相关的问题和文章。我注意到所有的答案都集中在如何防止不可信数据传递给服务器。而在前端,转义特殊代码似乎是防止脚本执行的唯一方法。 但是,如果用户只是向输入输入一段代码(如<script>alert("hi");</script>),该代码何时执行?有没有办法阻止它? 我听过​​keyup事件,但这只能防止正常输入,当用户直接复制并粘贴到输入时,它没有任何努

    0热度

    3回答

    我有一个表格,用户可以注册到我的网站 的数据被存储在用户POJO class User{ private String userName; private boolean enabled; private Date registrationDate; ... } ,然后坚持用 org.hibernate.Session.persist(User) 数据库是有办法的攻击者可以在us

    1热度

    2回答

    请建议我通过URL停止跨站点脚本(XSS)的最佳方式。 例如下面的URL和此次攻击的影响后。 https://example.com/questions/ask.aspx?hf=15315%27%3balert("XSS")%2f%2f150 并在此之后浏览器上发生警报。

    0热度

    1回答

    我的Struts 2.x的Web应用程序。在这个应用程序中,我正在使用XMLHttpRequest来刷新带有表格的div。我有一个单独的JSP页面来呈现HTML表格。我在XMLHttpRequest中获得JSP页面响应并更新对div的响应。 Veracode在innerHTML代码行显示XSS问题。我如何在这里清理HTML内容? function ajaxFileUploadRefresh(){

    0热度

    1回答

    我安装我的应用程序exception notification,和我有几个这样的通知,昨晚: 的::的ActionView ::模板发生在课程#在线错误: PG::InvalidTextRepresentation: ERROR: invalid input syntax for integer: "<script>alert("xssvuln")</script>" LINE 1: ...".

    3热度

    1回答

    我已经阅读了有关的相关问题div contenteditable, XSS,但其答案并没有强调关于XSS的contenteditable安全问题。特别是关于意外(与内部跨站脚本相比)。当然,我知道我应该清理用户输入服务器端。 TL.DR.:我可以肯定的是,用户并不突出风险引入一些外部脚本(即通过从剪贴板粘贴的数据。)通过页面元素被设置contenteditable?规范是否确保粘贴到content