Domande con tag 'xss'

domande con tag
2
risposte

Le patch XHR possono prevenire gli effetti collaterali XSS?

XSS & App per pagina singola Sto facendo ricerche sulla sicurezza Web e ho visto che l'autenticazione basata su token è utile per la prevenzione di CSRF, le architetture di sistema distribuite e le prestazioni di elaborazione. Ma u...
posta 05.06.2016 - 06:49
2
risposte

Problema in underscore.js con "new Function ()" quando viene impostata l'intestazione CSP

In underscore.js, il rendering del modello causa la violazione della proprietà 'unsafe-eval', con errore CSP alla riga seguente: render = new Function(settings.variable || 'obj', '_', source); La soluzione a questo problema su alcuni forum...
posta 06.05.2015 - 09:23
3
risposte

E-mail leggere ricevuta tramite XSS

Recentemente sono incappato in un modo davvero stupido / non sicuro ma interessante per ottenere una conferma di lettura di una e-mail. Non sono sicuro al 100% se il metodo in uso funziona, ed è per questo che lo sto chiedendo qui. G-mail non...
posta 10.10.2012 - 15:28
1
risposta

Prevenzione dell'XSS per l'API REST

Ho un'API REST a molla e un progetto client. La pagina HTML dei progetti client utilizza le chiamate jquery ajax per recuperare i dati dall'API REST utilizzando il formato json o xml. La mia domanda è evitare gli attacchi XSS su una pagina web,...
posta 28.10.2013 - 07:55
4
risposte

Content-Security-Policy hash di script

<?php header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'"); ?> <script>console.log("Hello world");</script> Tuttavia, continuo a ricevere in Chrome:...
posta 27.05.2014 - 03:42
1
risposta

In quali situazioni può element.setAttribute consentire XSS?

Burp ha identificato una potenziale vulnerabilità DOM XSS: The application may be vulnerable to DOM-based cross-site scripting. Data is read from window.location.href and passed to the 'setAttribute()' function of a DOM element In quest...
posta 14.10.2016 - 11:30
3
risposte

Eventhandlers che si applicano ad elementi nascosti?

Sto provando a XSS un campo di ricerca e il mio vettore di attacco si riflette in questo modo: <input type="text" id="txtRpHiddenKeyword" style="display: none;" value="ATTACK VECTOR HERE" /> Sono consentite solo virgolette e le parent...
posta 20.12.2013 - 14:03
2
risposte

Filtri drupali XSS con regex. Cosa potrebbe bypassarlo?

Drupal filtra le stringhe HTML contro gli attacchi XSS usando espressioni regolari: link Tuttavia, come molti sanno, HTML non può essere analizzato con espressioni regolari . Il che mi fa pensare che la funzione filter_xss possa co...
posta 02.11.2012 - 16:43
3
risposte

problemi di sicurezza nello storage JWT

Sto creando un meccanismo di accesso JWT per un sito. Ci sono due opinioni molto opposte su come conservare il JWT. Stormpath giura tramite cookie httponly: link Auth0 swear by localStorage: link All'inizio mi sono schierato con Auth0,...
posta 12.01.2017 - 13:41
2
risposte

fogli di stile personali

In riferimento a questa domanda , stavo ricercando se ci sarebbe stata o meno qualche sicurezza rischi nel consentire agli utenti di aggiungere i propri fogli di stile. Visualizza uno scenario in cui un dev può utilizzare le posizioni per so...
posta 15.12.2015 - 06:23