跨站点脚本(XSS)是Web应用程序中常见的一种计算机安全漏洞,它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中。攻击者可以使用利用漏洞利用的跨站点脚本漏洞来绕过访问控制,例如相同的源策略。
window.postMessage 的目的似乎是允许不同域上托管的窗口/框架之间进行安全通信,但实际上在 Chrome 中似乎不允许这样做。 这是 SC...
需要帮助修复 XSS 攻击 (CVE-2021-4231) Angular8
需要修复使用 Angular8 (8.1.1) 构建的应用程序中潜在的 XSS 攻击。在https://github.com/angular/angular/pull/40525/files找到了参考,但找不到packages/c...
我在客户端应用程序中发现了跨站脚本漏洞。问题是易受攻击的参数不接受括号。所以像alert(document.cookie)这样的东西...
如何避免 Winforms c# 中的 Reflected_xss_all_clients 漏洞
目前,我正在从事一个Winforms项目。 当我通过 CheckMarx 扫描我的 Winforms 应用程序时,我收到多个 Reflected_xss_all_clients 漏洞。 我知道没有
我正在尝试将 JavaScript 代码注入到现有的 DOM 中。 我已经看到,如果我手动将脚本放入浏览器的 DOM 元素检查器中 alert("XSS 测试");</scrip...</desc> <question vote="1"> <p>我正在尝试将 JavaScript 代码注入到现有的 DOM 中。</p> <p>我已经看到,如果我手动将脚本放入浏览器的 DOM 元素检查器中</p> <pre><code><script>alert("XSS test");</script> </code></pre> <p>脚本节点已添加到 DOM,但它<strong>没有效果</strong>。我的意思是,没有显示警报框。</p> <p><a href="https://i.stack.imgur.com/HMFRy.png" target="_blank"><img src="https://cdn.txt58.com/i/AWkuc3RhY2suaW1ndXIuY29tL0hNRlJ5LnBuZw==" alt=""/></a></p> <p>另一方面,如果我使用 document.write() 通过 JavaScript 控制台将脚本作为纯文本放置,在这种情况下,代码会立即被解析并执行,并且警报框会按预期显示。</p> <pre><code>document.write('<script>alert("XSS test");</script>'); </code></pre> <p>我习惯于看到在检查器中对 DOM 元素进行手工更改会立即反映在页面中,而 JavaScript 节点似乎是一个例外。</p> <p>为什么 Web 浏览器不执行在检查器中手动放置的 JavaScript 节点?</p> <p>还有其他方法可以将脚本节点发送到 DOM 并使其立即运行吗?</p> </question> <answer tick="true" vote="2"> 通过 <p><code>script</code><pre> 添加的 </pre><pre><code>innerHTML</code></pre> 标签和相关方法(<pre><code>insertAdjacentHTML</code></pre> 等)不会被执行。 (确切的规则位于 HTML 规范的 <em><code>script</code></em> 部分中的 <a href="https://html.spec.whatwg.org/multipage/scripting.html#the-script-element" rel="nofollow noreferrer">某处<pre>,但它的工作量很大。)这可能是因为早期就发现编写不佳的页面可能会使用 </pre><code>innerHTML</code></a> 等来附加用户内容,因此不执行它是避免非常非常基本的 XSS 攻击的快速而简单的方法。但只是非常非常基本的。<pre> </pre>您可以向 DOM 添加 </p><code>script</code><p> 标签,并通过创建和附加脚本标签来执行它:<pre> </pre><code>const script = document.createElement("script"); script.textContent = `console.log("Hi there");`; document.body.appendChild(script); </code></p> <pre>例如,您可以从 devtools 中的控制台选项卡执行此操作,而不是 DOM 检查器选项卡。</pre> <p> </p> </answer>向政府网站sql数据库服务器注入js合法吗<answer tick="false" vote="0"> <p>这有多容易做到?</p> <p> </p> </answer>尝试转到您想要的网页,然后在顶部的网址栏中添加<answer tick="false" vote="-2"> <p>javascript:[你的脚本]</p> <p>例如</p> <p>javascript:alert(“你好世界!”);</p> <p> </p></answer>
用 Javascript 构建 HTML 字符串真的不安全吗?
托管我们网站的公司在部署之前会审查我们的代码 - 他们最近告诉我们: HTML 字符串不应该被直接操作,因为这会给我们带来潜在的 XSS 漏洞。插入...
Discord 让我们能够创建基本上是提交表单的模式。这些模式是否能够抵御 XSS 或 SQL 注入等攻击,这样我们就不需要清理用户输入
我有一个 php 网页,它使用 URL 参数来设置一个变量,然后该变量显示在该页面中。 网址:webaddress.com/page.php?id=someCity 我们获取 $_GET['id'] 并将其指定为变量...
已知的样式属性 XSS 攻击如下: 或者 我举过的所有例子... 已知的样式属性 XSS 攻击如下: <DIV STYLE="width: expression(alert('XSS'));"> 或者 <DIV STYLE="background-image: url(javascript:alert('XSS'))"> 我见过的所有示例都使用表达式或 url 功能 - 基本上类似的功能需要“(”和“)”。 我正在考虑以下过滤样式标签的方法,我将使用以下(大约)语法来检查它们: identifier: [a-zA-Z_][a-zA-Z0-9\-]* number: [0-9]+ string: '[a-zA-Z_0-9 ]*' value : identifier | number | string | number + "(em|px)" | number +"%" entry: identifier ":" value (\s value )* style: (entry ;)* 所以基本上我允许具有数值或非常有限的字符串值(基本上对于字体名称)的 ASCII 属性,不允许使用任何看起来像 call 的东西。 问题是这样够好吗?是否有任何攻击可能会做出类似的事情: <DIV STYLE="this-is-js-property: alert 'XSS';"> 成功了吗? 有人能想到这样的测试存在 XSS 漏洞吗? 要说清楚 我需要样式属性,因为像 TinyMCE 这样的许多工具都使用它们并且过滤无害 关闭样式属性会严重损害功能。 所以我更喜欢通过常见的情况删除所有可能使用@import、url、表达式等的东西。并且还要确保基本的CSS语法是好的。 回答 不,由于点击劫持漏洞,它不安全。 由于点击劫持漏洞,这不起作用。 示例: <a href="http://example.com/attack.html" style="display: block; z-index: 100000; opacity: 0.5; position: fixed; top: 0px; left: 0; width: 1000000px; height: 100000px; background-color: red;"> </a> 发现于:http://www.bioinformatics.org/phplabware/forum/viewtopic.php?id=164 代码将得到完美验证,但可能会造成严重损坏。 因此 - 经验法则使用非常严格的白名单或不允许样式属性。 有一个名为 OWASP 的开放基金会可以帮助您解决此问题。 回答你的问题Are there any attacks....;是的! 那里有大量的文档,并且有一些库可以用来正确转义所有 XSS 代码。 阅读XSS 预防表。 是的,您可以使用带有Style属性的XSS攻击。 这些样式被注入,因为我们没有在特定 jsp 页面的标签中声明它们,但在我们的安全组审核时通过了: <img src="<path here>" style=x:ex/**/pression (alert(54163)) ".gif" 我正在考虑使用 HTTP 过滤器来阻止它,但我仍在研究它。 我们也没有保护隐藏的输入字段,这也成功了: <input type="hidden" name="<variable name here>" value="<value here>" style=x:ex/**/pression(alert (54163)) ""> 使用 Burpsuite 这样的工具,您可以动态修改请求以将 XSS 注入到这样的标签中。但是,使用 OWASP 的 ESAPI API,您可以添加保护。我们没有使用 JSTL 标签,因为它是旧的遗留代码,所以这是最好的短期解决方案。 对于我使用的隐藏输入; <input type="hidden" name="id" value="<%=ESAPI.encoder().encodeForHTMLAttribute(id)%>" 您还可以将 XSS 与 img 标签中的 js onload 事件一起使用: 安全规则#1:如果您最不怀疑,请假设存在漏洞。 你想实现什么目标?哪些功能会导致 CSS 来自不受信任的来源?
是否可以在 CSS 样式表中使用跨站点脚本?例如,参考样式表包含恶意代码,您会如何执行此操作? 我知道你可以使用样式标签,但是样式呢...
如何防止Spring Boot应用程序中的跨站脚本(XSS)攻击?
我想通过 XSS 保护来保护我的 Spring Boot 应用程序。我有使用 Spring Security 实现的 Spring Boot 应用程序。 另外,我有第二个应用程序(前端)在不同的端口上工作(
当我在 Angular 中使用经过净化的字符串创建文本节点时,我意外地在输出中得到了 html 实体。在 Renderer2 中使用之前,我通常会先清理所有输入。 常量文本 = ...
Apache Commons Text StringEscapeUtils 与 JSoup 预防 XSS?
我想清理用户输入以帮助防止 XSS 攻击,我们不一定关心 HTML 白名单,因为我们的用户不需要发布任何 HTML / CSS。 寻找替代方案...
所以基本上,我在 html 中使用 Google Button 登录,我需要以下代码: ` data-client_id=此处的令牌” 数据回调=“processResponse” 数据-c...
我有一个网站,为了方便起见,我在错误页面中放置了两个输入参数 第一个参数(code)是错误代码 第二个参数(desc)是错误文本 并且两个输入参数...
如果我有一个像这样的 React 组件: 返回 ( {obj.文本} ) 我传递的硬编码值如下所示: 对象 = { text: '这是一个示例字符串。我想要一个 [l...
Java 和 XSS:如何对 JSON 字符串进行 html 转义以防止 XSS?
在 Java 中,我们有一些代码可以获取复杂的 java 对象并将其序列化为 json。然后,它将 json 直接写入页面标记的脚本标记中,并将其分配给变量。 // ...
我正在使用 express-xss-sanitizer 包来清理 Node.js Express 应用程序中的传入请求。但是,我仍然看到 Checkmarx 报告的有关潜在 XSS 攻击的问题。 ...
在我的 Grails 应用程序中,我从参数中提取文本并将其用作我的域查询中的参数: 例子: def color = Colors.findByName(params.colorname) 我想有人可以摆弄...
我正在开发一个简单的后期应用程序,使用 React 作为前端,使用 NodeJS + MySQL 作为后端。考虑到安全性,我想知道应该在哪里进行用户输入清理 - ...