回答情况:
提问时间:
问题标签:
我正在使用一个验证库,它从我的web应用程序的输入中移除一些常见的XSS攻击。它工作得很好,而且我也在逃避我所做的一切,以防止XSS攻击。库在XSS过滤过程的一部分中包含了这一行:str= str.replace(/\&([a-z\_0-9]+)\=([a-z\_0-9]
浏览 6提问于2012-06-16得票数 0
回答已采纳
3回答
我的站点上有一个富文本编辑器,我试图保护它免受XSS攻击。我想我已经处理了几乎所有的事情,但我仍然不确定如何处理图像。现在我正在使用以下正则表达式来验证图像URL,我假设它将阻止内联javascript XSS攻击:我不确定的是,这会让我在多大程度上受到来自远程映像的XSS攻击。链接到外部镜像是否会造成严重的安全威胁?
浏览 0修改于2009-10-09得票数 6
RESTful服务目前通过应用XML和实体验证来防止XSS攻击。在这两种情况下,这都是通过正则表达式完成的,如下所示:这种验证是否可以被视为对抗XSS的可靠对策,或者我是否需要实施进一步的安全措施
浏览 0修改于2013-09-10得票数 4
回答已采纳
其中一个攻击是将XSS脚本注入到请求url中: ourcompanyhostname.com/abc/authorize<script>alert('xss');</script> 由于我们的web服务器是*[^A-Za-z0-9./\-_]+ "-" [L,R=400] 问题是,当攻击被更改为下面的攻击时,它不再被捕获: ourcompanyhostname.com/abc
浏览 56提问于2020-07-24得票数 0
我正在尝试执行DOM XSS攻击,以利用本地主机网页的漏洞。我能够成功地在IE-11和Chrome上执行攻击。但是Firefox阻止了我通过对我放在URL中的脚本进行编码来执行攻击。正如在官方OWASP页面上解释的那样,我正在执行攻击。为了绕过chrome的XSS审计师,我遵循了在这篇精彩的文章中解释的技巧(尽管他在文章中解释了XSS,但它对DOM也很有效)。那么,我如何在最新的Firefox上执行DOM XSS攻击呢?
注意:我可以
浏览 0提问于2014-03-07得票数 7
回答已采纳
我有一个url参数,可以是:"“或:javascript:警告(document.cookie)
如果我使用encodeURIComponent来避免xss攻击,那么合法的url就会被破坏,如果我使用encodeURIComponent,xss攻击就不会被处理(冒号通过)。避免xss攻击和保持url有效的最佳方法是什么?
浏览 14提问于2015-08-25得票数 2
回答已采纳
4回答
有一些已知的样式属性XSS攻击,如:或所有的示例都使用表达式或url功能--基本上类似的功能需要"(“和")”。我正在考虑以下过滤样式标签的方法,我将使用以下(大致)语法检查它们:
i
浏览 216修改于2010-12-28得票数 32
回答已采纳
我非常关注XSS和网站的安全性。 我已经阅读了一些与XSS相关的参考资料,并防止它们使用转义、编码等。 所以我的问题是,Django会自动转义每个输入数据并自动或显式地处理XSS攻击吗?我们需要实现代码来防止XSS攻击吗? 我们如何在Django中防止各种XSS攻击?
浏览 36修改于2019-10-09得票数 3
回答已采纳
我的学校网站被黑了因为我的教授被XSS-ed了。所以我发现攻击者使用了这个XSS攻击矢量谁能解释一下这个向量是如何工作的,以及你建议我如何设置我的网站以抵御进一步的XSS攻击。
浏览 4提问于2011-12-25得票数 0
回答已采纳
有几篇关于安卓/iOS WebViews中XSS漏洞的文章。我所说的WebView指的是“真实的”网页视图,而不是SFSafariViewController或Custom。我自己也能想到一个例子:这个应用程序使用的是深度链接/通用链接。query=<script>alert('XSS&
浏览 0修改于2019-06-24得票数 1
我不担心其他类型的攻击。我只想知道HTML编码是否可以防止各种XSS攻击。
即使使用HTML编码,也有办法进行XSS攻击吗?
浏览 6提问于2008-09-10得票数 67
回答已采纳
如果要像这样在输入框中输入下面的代码来执行XSS攻击,由于maxlength的限制,不能输入的XSS攻击,我能保证XSS攻击不能进行吗?一般来说,如果输入受到maxlength的限制,那么限制XSS攻击的最小maxlength应该是多少?
浏览 0提问于2013-02-07得票数 3
回答已采纳
我试图用XSS制作一个PoC:我已经将脚本注入到值中: <form action="https://test.com/api/users.prefs.sethidden" name="name" value="emoji_use" />
<input type="hidden" name="value"
浏览 0修改于2015-11-16得票数 1
回答已采纳
1回答
如果网站URL被编码,那么该网站是否仍然容易受到XSS的攻击?例如,如果我尝试<script>alert(1)</script>并将我的有效负载编码为%3Cscript%3Ealert(1)%3C%2Fscript%3E,这是否意味着该站点易受XSS攻击或不受XSS攻击?
浏览 0修改于2018-07-27得票数 2
基于DOM(类型0)的XSS不需要向服务器发送恶意代码,因此它们也可以使用静态HTML页面作为攻击载体。以下是虚拟攻击字符串的示例:我很熟悉,ModSecurity在PDF中提供了对被认为是0类攻击的XSS攻击的保护,但是我的问题是,ModSecurity是否在一
浏览 0提问于2010-12-10得票数 3
我正在使用Burp套件进行一些测试,我注意到它们包括以下字符串:作为XSS有效负载的攻击字符串。
如何使用此字符串执行XSS攻击?
浏览 0修改于2013-07-31得票数 9
回答已采纳
我正在浏览OWASP筛选器规避备忘单和,我遇到了本节,其中有一个用于执行XSS的锚标记,其形式如下:<A HREF="http://ha.ckers.org@google">XSS</A>
<A HREF="http://google:ha.ckers.org">XSS&
浏览 0修改于2015-06-15得票数 2
回答已采纳
我的网站遭受过多次XSS攻击。以下HTML片段是攻击者注入的XSS向量:<a href=\"http://www.google.com onmouseover=alert(/hacked/);>
<img src="http://www.google.com onmouseover=alert(/hacked/);" alt=
浏览 1修改于2011-09-16得票数 6
回答已采纳
我在web应用程序上尝试过一些XSS漏洞,如web98、OWASP、bWAPP。我想知道apache日志文件中跨站点脚本攻击的特性/关键字/足迹,从这些足迹中可以确定XSS攻击已经执行。我知道所有类型的XSS攻击都无法通过日志文件检测到。但是,我希望将任何可能的XSS类型的特性存储到日志文件中。我是否可以知道,为了识别XSS攻击而存储在日志文件中的任何其他功能已经执行过?为了通过访问日志文件检测XSS</e
浏览 0修改于2018-12-27得票数 1
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号