Domande con tag 'html'

domande con tag
3
risposte

Permettere agli utenti di inserire un sottoinsieme sicuro di HTML

Recentemente ho postato questa domanda su Code Review e mi è stato raccomandato di chiederlo a voi ragazzi. Fondamentalmente, questo sarà usato per consentire agli utenti di generare contenuti formattati. Viene inserito all'interno di tag H...
posta 16.06.2014 - 08:36
1
risposta

Il contenuto in blocchi noscript deve essere evaso

Il titolo dice quasi tutto. Sembra controproducente sfuggire all'interno di un blocco <noscript> perché qualsiasi j che un utente malintenzionato è in grado di immettere non dovrebbe essere eseguito. Ma, sono ancora abbastanza nuovo i...
posta 13.01.2014 - 20:52
1
risposta

Quali sono i vantaggi e gli svantaggi dell'elemento HTML5 Keygen?

A partire da gennaio 2013, quali sono i potenziali vantaggi e svantaggi dell'elemento HTML5 Keygen?     
posta 13.01.2013 - 16:08
4
risposte

Content-Security-Policy hash di script

<?php header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'"); ?> <script>console.log("Hello world");</script> Tuttavia, continuo a ricevere in Chrome:...
posta 27.05.2014 - 03:42
2
risposte

Insidie quando si attiva la propria funzionalità "mostra password"

Sto considerando di emulare la funzionalità "Mostra password", disponibile in alcuni browser più recenti, su un sito web, essenzialmente come un polifratura per i browser che non lo fanno. Il metodo più comune per farlo è chiama una funzione Ja...
posta 15.05.2018 - 19:14
1
risposta

Perché una "tela contaminata" è un rischio?

Comprendo la preoccupazione di una tela contaminata: l'idea che i bit di un'immagine di un altro sito possano essere inviati a un server malevolo. Ma puoi spiegare i dettagli di come funziona esattamente? Supponiamo che l'utente visiti nast...
posta 09.02.2018 - 03:05
3
risposte

Eventhandlers che si applicano ad elementi nascosti?

Sto provando a XSS un campo di ricerca e il mio vettore di attacco si riflette in questo modo: <input type="text" id="txtRpHiddenKeyword" style="display: none;" value="ATTACK VECTOR HERE" /> Sono consentite solo virgolette e le parent...
posta 20.12.2013 - 14:03
2
risposte

Filtri drupali XSS con regex. Cosa potrebbe bypassarlo?

Drupal filtra le stringhe HTML contro gli attacchi XSS usando espressioni regolari: link Tuttavia, come molti sanno, HTML non può essere analizzato con espressioni regolari . Il che mi fa pensare che la funzione filter_xss possa co...
posta 02.11.2012 - 16:43
2
risposte

Le migliori pratiche quando si inoltra un'e-mail o si copia / incolla da fonti di informazioni riservate?

Mi viene chiesto molto da persone anziane o per questioni legali. Vogliono inoltrare un messaggio e-mail che hanno ricevuto a un'altra parte, rimuovendo le informazioni di identificazione dalla prima parte e rimuovendo alcune linee dal corpo del...
posta 17.12.2015 - 22:43
2
risposte

E 'sufficiente convertire' ed evitare XSS nelle stringhe JavaScript?

È sufficiente convertire ' in &#039; , > in &gt; e < in &lt; per evitare XSS quando si inseriscono dati non affidabili in una stringa JavaScript come sotto? <script> param='payload'; </sc...
posta 27.11.2014 - 14:19