Вопросы, помеченные тегом «xss»
Межсайтовый скриптинг (XSS) - это тип уязвимости компьютерной безопасности, обычно обнаруживаемый в веб-приложениях, который позволяет злоумышленникам внедрять клиентский скрипт в веб-страницы, просматриваемые другими пользователями. Используемая уязвимость межсайтового сценария может использоваться злоумышленниками для обхода средств контроля доступа, таких как одна и та же политика происхождения.
20 ноября 2021 в 18:13
85
1
Как возможна инъекция HTML в этом вызове domxss.com
Проведенное OWASP тестирование страницы внедрения HTML (ссылка) показывает определенный код, который предположительно уязвим для внедрения HTML.
<script src="../js/jquery-1.7.1.js"></script>
<script>
function setMessage(){
var...
6 августа 2021 в 16:52
38
1
Почему мой входной параметр не экранируется при вызове функции из события onclick
По какой-то причине при вызове функции js ввод не экранируется при вызове из события onclick. Я не могу понять, почему. Демонстрацию см. во фрагменте ниже.
Тестовая функция вызывается при загрузке страницы и нажатии кнопки с точно такими же вводными данными, но с...
5 августа 2021 в 10:03
21
0
проблема внедрения скрипта node js
Я пытаюсь найти лучший способ избежать следующей проблемы:
В веб-приложении моего узла myApp.com :
пользователь может загрузить XML-файл.
затем он получает ссылку для доступа к этому файлу: myApp.com/file/fileId
затем он может поделиться ссылкой с другими...
5 августа 2021 в 07:26
212
1
Удалите все встроенные скрипты из проекта ASP.NET.
Нас попросили внедрить Content-Security-Policy для смягчения XSS-атак на наше приложение. В результате нам нужно переместить все встроенные скрипты в файлы, на которые есть ссылки, которые затем могут быть указаны как безопасные в HTTP-заголовках...
4 августа 2021 в 13:26
2860
2
checkmarx Client Potential XSS исправление
После сканирования контрольной отметки мы получили отчет о клиентском потенциале XSS и
пытался исправить
Мы уже пробовали использовать следующую утилиту для кодирования содержимого, но ни одна из них не...
3 августа 2021 в 10:06
5412
1
Как предотвратить атаку Cross Site Scripting (XSS) в приложении Spring Boot?
Я хочу защитить свое весеннее загрузочное приложение с помощью защиты XSS. У меня есть приложение Spring Boot, реализованное с помощью Spring Security.
Кроме того, у меня есть второе приложение (интерфейс), работающее на другом порту (другое происхождение), поэтому я...
2 августа 2021 в 16:47
83
1
Предотвратить XSS на webapi
У меня есть метод публикации webapi, который принимает json и возвращает запись.
public ProductResponse Post(ProductRequest reqObj){
//search the record
//var responseObject = //search in db using ProductRequest.Name
return responseObject;
}
public class...
1 августа 2021 в 22:25
718
0
Отказано в оценке строки как JavaScript, поскольку «unsafe-eval» не является разрешенным источником сценария в следующей политике безопасности контента.
Я получаю эту ошибку всякий раз, когда нажимаю ссылку на страницу моего веб-сайта в Twitter в нижнем колонтитуле моей веб-страницы, ссылка включена во встроенный HTML-код, который, как я полагаю, не нравится Политике безопасности контента?
Я вижу, что могу просто...
31 июля 2021 в 11:45
41
0
Результат Struts 2 json и взлом xss
Пожалуйста, рассмотрите этот пример действия, которое проверяет загруженный пользователем файл и возвращает JSON ошибок, если с пользователем что-то не так.
Текст в jsp:
Your file has this text which is not correct : I are a programmer
public class SampleAction{
...
28 июля 2021 в 10:31
42
1
Замена текста при отправке формы с помощью jQuery остается на несколько секунд и исчезает позже
У меня есть элемент формы и элемент span, как показано ниже:
//I have used following jQuery function to replace text in span:
$(document).ready(function () {
$("#btn").click(function () {
var new_text = "Sorry, username '" + $("#username").val() + "' is...
28 июля 2021 в 08:39
2130
1
Как устранить предупреждение «Подкадр другого источника пытался создать диалоговое окно JavaScript» в Chrome?
Я получаю это предупреждение в Chrome, когда пытаюсь отобразить диалоговое окно (alert()/confirm()/prompt()) из iframe. Оба домена принадлежат мне.
Подкадр другого источника пытался создать диалоговое окно JavaScript. Это больше не разрешено и было заблокировано....
28 июля 2021 в 06:34
56
0
Как я могу разрешить сохранение логических значений, когда я использую дезинфекцию Dompurify?
Как я могу разрешить сохранение логических значений, когда я использую дезинфекцию Dompurify?
var DOMPurify = require('dompurify');
var forDataGenerate = function (data) {
var formData = new FormData();
for (var _i = 0, _a = Object.keys(data); _i <...
27 июля 2021 в 16:58
4013
1
JavaScript, это может активировать атаку отраженного межсайтового скриптинга (XSS)
У меня есть этот код:
const implementation = async (req, res, next) => {
const rut = req.user && req.user.nickname.toUpperCase();
const data = req.body; // ERROR !!!
if (!rut || !data) res.send(400, {message: 'Error al recibir los datos'});
let...
27 июля 2021 в 06:25
32
1
Как добавить атрибут Xss во все свойства класса?
Я хочу добавить атрибут xss в заголовок класса и применить ко всем свойствам.
Нравится этот код
[CustomAttribute]
public class Class1
{
public string Name { get; set; }
public string LastName { get; set; }
}
и работать над наследством
26 июля 2021 в 16:45
224
1
Настройка сервера IIS для использования заголовка «Content-Security-Policy»
На данный момент у меня в IIS установлена следующая политика безопасности контента:
добавить name="Content-Security-Policy" value="frame-ancestors 'self'"
С помощью этой опции блокируется контент на страницах со встроенным iframe. Я не хочу удалять эту политику,...
26 июля 2021 в 03:14
23
1
Доступны ли ранее сделанные HTTP-запросы через Javascript
Являются ли ответы/полезные данные ранее сделанных HTTP-запросов доступными программно через Javascript?
Я хотел бы знать, могут ли хакеры таким же образом использовать XSS для доступа к хранилищам cookie/localStorage в браузере, могут ли они получить доступ к данным...
22 июля 2021 в 15:14
664
1
Политика безопасности контента: должен ли CSP содержать хэши для внешних скриптов?
В чем я не уверен
Мне интересно, должен ли заголовок Content-Security-Policy содержать хэши для внешних файлов JavaScript (также называемых тегами с атрибутом src <script src="foo.js"></script>).<script...
22 июля 2021 в 13:41
260
0
Безопасно ли использовать window.location.href непосредственно в Angular?
Безопасно ли использовать window.location.href без какой-либо проверки?
Например:
navigateUsingUrl(url: string) {
window.location.href = url}
И вызов этой функции:
this.navigateUsingUrl('https://www.google.com')
Отметить эту проблему
Эти ненадежные...
19 июля 2021 в 14:32
175
0
Оповещение XSS на основе ZaP DOM при использовании nginx pam для аутентификации
В нашем приложении у нас есть базовый веб-сайт, написанный на базовом HTML и javascript без фреймворка, использующий веб-сервер nginx, а модуль аутентификации Pam используется с базовой аутентификацией. Модуль Pam в основном использует приглашение браузера для входа в...
16 июля 2021 в 12:44
174
1
Как я могу отправить форму (содержащую текстовые области и поля ввода) python для атаки XSS?
Я изучаю XSS и решаю игру Google, созданную для XSS
http://www.xss-game.appspot.com/level2/frame
Мне удалось найти решение этого уровня, заключающееся в заключении скрипта в тег изображения, но я не могу найти уязвимость, используя приведенный ниже код Python.
from bs4...