Quando si dispone di un editor di testo avanzato su un'applicazione Web, qual è il modo migliore per sfuggire alle entità HTML e prevenire gli attacchi XSS mantenendo la formattazione ( <b> , <i> , <u> , ... ecc.)...
Il foglio Cheat di prevenzione XSS OWASP contiene un elenco di posizioni in cui i dati non attendibili non dovrebbero mai essere mettere:
<script>...NEVER PUT UNTRUSTED DATA HERE...</script> directly in a script
<!--...N...
Ho un editor di contenuti in un'applicazione web che consente agli amministratori di aggiungere e modificare contenuti in determinate aree dell'applicazione.
Il componente editor che ho usato rimuove automaticamente qualsiasi tag di script, e...
Uno dei siti dei nostri clienti si è trasformato in uno stato non funzionante. La maggior parte del contenuto (che è in giapponese), si è trasformato in qualcosa del genere: 会 案 内 (che originariamente era: 会 社 案 内. Controllando il codice,...
Questa società di analisi email offre una "metrica di coinvolgimento" che mostra quanto tempo qualcuno passa a guardare un'email, sia che l'e-mail sia stampata o cancellato .
Inoltre affermano che funziona praticamente in tutti i clien...
C'è qualche problema con l'output della password di un utente in HTML in un campo nascosto (vedi use case qui sotto prima di flaming xD)?
Il caso d'uso è un modulo di registrazione con due passaggi. L'utente inserisce la password nel primo pa...
Se ipoteticamente volessi consentire agli utenti di utilizzare un avatar da un URL arbitrario come questo:
<img class="avatar" src="{user input}" />
Ci sono molti problemi che posso pensare:
Ci sono data uris quindi pot...
Sto guardando il codice per un vecchio modulo di accesso che sto riprogettando. È una tabella semplice con due campi di immissione per nome utente e password.
Ma appena prima del tag di fine </table> c'è un iFrame vuoto che assomig...
Sto imparando sugli attacchi XSS. Wikipedia dice che in un attacco non persistente un utente malintenzionato può fornire un URL dall'aspetto innocuo che "punta a un fidato sito ma in realtà ha un vettore XSS. " Come sarebbe questo? Qualcuno pu...
Svilupperò un'applicazione JavaScript a pagina singola che consente l'input tramite una textarea. Questo input non viene mai inviato al server, non viene mai mostrato a un altro utente e verrà conservato nella memoria del browser solo finché si...