Вопросы, помеченные тегом «xss»

Межсайтовый скриптинг (XSS) - это тип уязвимости компьютерной безопасности, обычно обнаруживаемый в веб-приложениях, который позволяет злоумышленникам внедрять клиентский скрипт в веб-страницы, просматриваемые другими пользователями. Используемая уязвимость межсайтового сценария может использоваться злоумышленниками для обхода средств контроля доступа, таких как одна и та же политика происхождения.
avatar
Black Wind
20 ноября 2021 в 18:13
85
1

Как возможна инъекция HTML в этом вызове domxss.com

Проведенное OWASP тестирование страницы внедрения HTML (ссылка) показывает определенный код, который предположительно уязвим для внедрения HTML. <script src="../js/jquery-1.7.1.js"></script> <script> function setMessage(){ var...
avatar
DanBalzeer
6 августа 2021 в 16:52
38
1

Почему мой входной параметр не экранируется при вызове функции из события onclick

По какой-то причине при вызове функции js ввод не экранируется при вызове из события onclick. Я не могу понять, почему. Демонстрацию см. во фрагменте ниже. Тестовая функция вызывается при загрузке страницы и нажатии кнопки с точно такими же вводными данными, но с...
avatar
bssyy78
5 августа 2021 в 10:03
21
0

проблема внедрения скрипта node js

Я пытаюсь найти лучший способ избежать следующей проблемы: В веб-приложении моего узла myApp.com : пользователь может загрузить XML-файл. затем он получает ссылку для доступа к этому файлу: myApp.com/file/fileId затем он может поделиться ссылкой с другими...
avatar
cmdln
5 августа 2021 в 07:26
212
1

Удалите все встроенные скрипты из проекта ASP.NET.

Нас попросили внедрить Content-Security-Policy для смягчения XSS-атак на наше приложение. В результате нам нужно переместить все встроенные скрипты в файлы, на которые есть ссылки, которые затем могут быть указаны как безопасные в HTTP-заголовках...
avatar
Vincent Chen
4 августа 2021 в 13:26
2860
2

checkmarx Client Potential XSS исправление

После сканирования контрольной отметки мы получили отчет о клиентском потенциале XSS и пытался исправить Мы уже пробовали использовать следующую утилиту для кодирования содержимого, но ни одна из них не...
avatar
Rocky3582
3 августа 2021 в 10:06
5412
1

Как предотвратить атаку Cross Site Scripting (XSS) в приложении Spring Boot?

Я хочу защитить свое весеннее загрузочное приложение с помощью защиты XSS. У меня есть приложение Spring Boot, реализованное с помощью Spring Security. Кроме того, у меня есть второе приложение (интерфейс), работающее на другом порту (другое происхождение), поэтому я...
avatar
j4rey
2 августа 2021 в 16:47
83
1

Предотвратить XSS на webapi

У меня есть метод публикации webapi, который принимает json и возвращает запись. public ProductResponse Post(ProductRequest reqObj){ //search the record //var responseObject = //search in db using ProductRequest.Name return responseObject; } public class...
avatar
Bubba
1 августа 2021 в 22:25
718
0

Отказано в оценке строки как JavaScript, поскольку «unsafe-eval» не является разрешенным источником сценария в следующей политике безопасности контента.

Я получаю эту ошибку всякий раз, когда нажимаю ссылку на страницу моего веб-сайта в Twitter в нижнем колонтитуле моей веб-страницы, ссылка включена во встроенный HTML-код, который, как я полагаю, не нравится Политике безопасности контента? Я вижу, что могу просто...
avatar
Alireza Fattahi
31 июля 2021 в 11:45
41
0

Результат Struts 2 json и взлом xss

Пожалуйста, рассмотрите этот пример действия, которое проверяет загруженный пользователем файл и возвращает JSON ошибок, если с пользователем что-то не так. Текст в jsp: Your file has this text which is not correct : I are a programmer public class SampleAction{ ...
avatar
Taylor swift
28 июля 2021 в 10:31
42
1

Замена текста при отправке формы с помощью jQuery остается на несколько секунд и исчезает позже

У меня есть элемент формы и элемент span, как показано ниже: //I have used following jQuery function to replace text in span: $(document).ready(function () { $("#btn").click(function () { var new_text = "Sorry, username '" + $("#username").val() + "' is...
avatar
Алекс Фридман
28 июля 2021 в 08:39
2130
1

Как устранить предупреждение «Подкадр другого источника пытался создать диалоговое окно JavaScript» в Chrome?

Я получаю это предупреждение в Chrome, когда пытаюсь отобразить диалоговое окно (alert()/confirm()/prompt()) из iframe. Оба домена принадлежат мне. Подкадр другого источника пытался создать диалоговое окно JavaScript. Это больше не разрешено и было заблокировано....
avatar
Deepita Saha
28 июля 2021 в 06:34
56
0

Как я могу разрешить сохранение логических значений, когда я использую дезинфекцию Dompurify?

Как я могу разрешить сохранение логических значений, когда я использую дезинфекцию Dompurify? var DOMPurify = require('dompurify'); var forDataGenerate = function (data) { var formData = new FormData(); for (var _i = 0, _a = Object.keys(data); _i <...
avatar
pmiranda
27 июля 2021 в 16:58
4013
1

JavaScript, это может активировать атаку отраженного межсайтового скриптинга (XSS)

У меня есть этот код: const implementation = async (req, res, next) => { const rut = req.user && req.user.nickname.toUpperCase(); const data = req.body; // ERROR !!! if (!rut || !data) res.send(400, {message: 'Error al recibir los datos'}); let...
avatar
amin zare
27 июля 2021 в 06:25
32
1

Как добавить атрибут Xss во все свойства класса?

Я хочу добавить атрибут xss в заголовок класса и применить ко всем свойствам. Нравится этот код [CustomAttribute] public class Class1 { public string Name { get; set; } public string LastName { get; set; } } и работать над наследством
avatar
Sam
26 июля 2021 в 16:45
224
1

Настройка сервера IIS для использования заголовка «Content-Security-Policy»

На данный момент у меня в IIS установлена ​​следующая политика безопасности контента: добавить name="Content-Security-Policy" value="frame-ancestors 'self'" С помощью этой опции блокируется контент на страницах со встроенным iframe. Я не хочу удалять эту политику,...
avatar
synergy77
26 июля 2021 в 03:14
23
1

Доступны ли ранее сделанные HTTP-запросы через Javascript

Являются ли ответы/полезные данные ранее сделанных HTTP-запросов доступными программно через Javascript? Я хотел бы знать, могут ли хакеры таким же образом использовать XSS для доступа к хранилищам cookie/localStorage в браузере, могут ли они получить доступ к данным...
avatar
Colin
22 июля 2021 в 15:14
664
1

Политика безопасности контента: должен ли CSP содержать хэши для внешних скриптов?

В чем я не уверен Мне интересно, должен ли заголовок Content-Security-Policy содержать хэши для внешних файлов JavaScript (также называемых тегами с атрибутом src <script src="foo.js"></script>).<script...
avatar
Ratnesh...
22 июля 2021 в 13:41
260
0

Безопасно ли использовать window.location.href непосредственно в Angular?

Безопасно ли использовать window.location.href без какой-либо проверки? Например: navigateUsingUrl(url: string) { window.location.href = url} И вызов этой функции: this.navigateUsingUrl('https://www.google.com') Отметить эту проблему Эти ненадежные...
avatar
supritha
19 июля 2021 в 14:32
175
0

Оповещение XSS на основе ZaP DOM при использовании nginx pam для аутентификации

В нашем приложении у нас есть базовый веб-сайт, написанный на базовом HTML и javascript без фреймворка, использующий веб-сервер nginx, а модуль аутентификации Pam используется с базовой аутентификацией. Модуль Pam в основном использует приглашение браузера для входа в...
avatar
Malik Abdulaziz
16 июля 2021 в 12:44
174
1

Как я могу отправить форму (содержащую текстовые области и поля ввода) python для атаки XSS?

Я изучаю XSS и решаю игру Google, созданную для XSS http://www.xss-game.appspot.com/level2/frame Мне удалось найти решение этого уровня, заключающееся в заключении скрипта в тег изображения, но я не могу найти уязвимость, используя приведенный ниже код Python. from bs4...