Django (il framework web Python) scappa l'output per prevenire gli attacchi XSS (Cross Site Scripting). Sostituisce ' , " , < , > , & con le loro versioni HTML sicure.
Tuttavia questa presentazione sulla diapos...
Uso sempre strip_tags per prevenire gli attacchi XSS, ma oggi ho visto un post che diceva che era orribilmente pericoloso. Come dice il manuale, non controlla l'HTML malformato!
È vero?
Che cosa posso fare per prevenire XSS?
Immagino che la codifica HTML dell'input sia probabilmente una soluzione migliore, ma sono curioso che se solo togliere% qualsiasi < e > caratteri sia una difesa efficace contro gli attacchi XSS.
In questo modo mantenere un si...
Alcune risposte indicano che è possibile a inietti HTML controllato dagli autori di attacchi in immagini e quindi provoca XSS.
Immagino che questo HTML verrà elaborato dal browser solo se il foro esiste nel browser. Quindi penso che sia p...
Esiste una libreria comprovata con funzioni per prevenire gli attacchi XSS? Molte persone non si rendono conto che htmlspecialchars non è sufficiente per prevenire gli attacchi XSS. Esistono vari contesti che necessitano di una propria esca...
Dal 2009, Google ha utilizzato un singolo nome di dominio per identificare i suoi server su più prodotti:
Following standard industry practice, we make sure each IP address has a corresponding hostname. In October 2009, we started using a...
Per proteggere contro CSRF, non è possibile che il mio javascript della pagina inserisca dinamicamente l'ID di sessione dal cookie nel corpo di ogni richiesta HTTP appena prima che venga inviato?
Il server dovrebbe quindi semplicemente conval...
Questo articolo discute la memorizzazione dei token di sessione in un cookie vs in localStorage: link
L'articolo afferma:
Cookies, when used with the HttpOnly cookie flag, are not accessible
through JavaScript, and are immune to XSS....
Se faccio un test con un classico <script>alert(1)</script> , il proprietario del sito web vede il mio tentativo? L'XSS lascia qualche traccia dietro?
Cercherò di costruire un piccolo server sulla mia Ubuntu con un gruppo di s...
Sto esaminando una vulnerabilità in un'applicazione che riecheggia un nome file fornito dall'utente senza disinfettare il nome file.
es. un file chiamato test-<script>alert("evil");.txt risulterà in quel testo riecheggiato nell'XHT...