Domande con tag 'html'

domande con tag
1
risposta

Inserimento utente sandboxing html

Voglio rendere l'HTML caricato dall'utente (composto probabilmente da molti file con immagini, css personalizzati, js personalizzati, tutti caricati in un file zip) a scopo di anteprima. L'utente che invia l'html sarà l'unico ad accedervi....
posta 29.08.2013 - 10:35
1
risposta

Cosa ci impedisce di usare un tag antiscript per fermare XSS?

Sono a conoscenza di vari modi per prevenire gli attacchi XSS, come l'escaping e la codifica, che sono soggetti a problemi e che utilizzano una politica di sicurezza dei contenuti che richiede l'estrazione di tutti gli script. Tuttavia, ciò che...
posta 02.09.2018 - 03:24
2
risposte

Caricamento di qualsiasi file HTML sul nostro server

Supponiamo che il nostro sito consenta il caricamento di qualsiasi file HTML. Quindi un hacker può rubare il cookie di altri usando JavaScript. Che cosa succede se pubblicheremo file HTML caricati con Content-Disposition: attachment ?...
posta 02.12.2016 - 05:55
1
risposta

Esiste un vettore XSS per i campi di input nascosti senza utilizzare la chiave di accesso HTML?

Ho alcuni casi di cross-site scripting (XSS) in campi di input HTML nascosti. Esistono alcuni vettori XSS noti che possono essere utilizzati, ad esempio, utilizzando la chiave di accesso HTML. XSS in hidden inputs is frequently very difficu...
posta 04.03.2016 - 11:53
2
risposte

Le librerie JavaScript di terze parti possono accedere alle intestazioni http della pagina html di hosting

Quindi, ho un sito Web, utilizza un cookie memorizzato nell'intestazione http del documento html scaricato per mantenere la sessione mentre l'utente finale è connesso e accede a tali dati "sicuri". Questa pagina Web include anche javascript forn...
posta 17.08.2015 - 08:12
1
risposta

Come creare l'editor di testo più sicuro in Django?

Come follow-up di questa domanda , mi chiedo quale sia il modo più sicuro (utilizzando markup o markdown) per consentire agli utenti di formattare i loro input e caricare le immagini in un'app Django? Non sto chiedendo informazioni dettaglia...
posta 03.09.2015 - 01:07
1
risposta

È stato reindirizzato da MS Outlook a un sito di phishing. Hai bisogno di un'opinione indipendente sul fatto che il mio computer sia o meno compromesso

Sperando che qualcuno possa guardare attraverso il codice HTML di phishing che ho ricevuto e darmi una seconda opinione se sono stato o meno compromesso. Qualcuno può anche dirmi quali sono i segni rivelatori che suggeriscono che esiste un caric...
posta 19.02.2017 - 13:19
2
risposte

XSS in Content-Disposition

Supponiamo di aver trovato un xss sul sito esempio.com, ora per attivare un XSS, io uso il seguente URL: https://example.com/a.php?v=%22%3E%3Cimg%20src=x Quale risultato nella seguente risposta: HTTP/1.1 500 Internal Server Error Server:...
posta 27.07.2015 - 04:26
1
risposta

XSS: alert () non eseguito su diversi SO / computer

Ho riscontrato uno strano comportamento mentre eseguivo un controllo di sicurezza di un'applicazione web. Alcuni input controllati dall'utente stavano visualizzando i loro valori, non codificati, nella pagina che ha elaborato la richiesta. Dopo...
posta 17.09.2014 - 10:07
1
risposta

Qual è l'impatto sulla sicurezza della rimozione dei tag script in un sito Web durante il caricamento della pagina? [chiuso]

Ho scoperto di recente che in chrome, se scrivi gli script in <script> tag e nella parte superiore o inferiore del tag dello script, hai qualcosa da eliminare, il codice (setInterval, setTimeout, è il solo quelli testati) permarranno...
posta 25.04.2017 - 10:40