xss

    -2

    1答えて

    私は数日間、ajax呼び出しから戻ってくる脆弱なJavaスクリプト変数を修正する方法を見つけています。 public String getDefaultCopyName(HttpServletRequest request, HttpServletResponse response, Long serviceGroupId) { MeoOptimizationSet set =

    0

    1答えて

    私はan articleとReactの書き込みウィザードで、各ステップをURLに関連付けることを検討しています。作成者はURLの「ハッシュ」部分を使用してステップを指定し、this.state.currentStepに割り当てます。彼らはこれが危険であるとコメントしています。 class BasicWizard extends React.Component { constructor(

    1

    1答えて

    XSSのバグを体系的にブロックするために、Angularはデフォルトですべての値を信頼できないものとして扱います。属性、属性、スタイル、クラスバインド、または補間を使用して、テンプレートから値をDOMに挿入すると、Angularは信頼できない値をサニタイズしエスケープします。 角型テンプレートは、実行可能コードと同じです。テンプレート内のHTML、属性、およびバインド式(ただし、値はバインドされて

    -2

    1答えて

    私はいくつかの古いプロジェクトを維持しています。いくつかのツールでコードの品質をスキャンすると、コードには、私が解決する必要がある多くのクロスサイトスクリプティングの問題があることがわかります。問題の1つは以下の通りです。 public class Tester1 { public void doRecurrssion(JspWriter out, MyDTO dto){

    0

    1答えて

    私たちは最新のバージョン4.7.3のCKEditor(フル)を使用しています。ソースモードでプレビューツールバーのボタンを無効にするにはいくつかの解決策を試しましたが、動作させることはできませんでした。ページに複数のエディタがあり、関連のないロジックのためにユーザーコントロール(.ascx)として追加される場合があります。たとえば、次のように試してみました。 CKEDITOR.on('instan

    2

    1答えて

    これは、スクリプトタグ(以下に示す)を入力フィールドとその説明フィールドのいずれかに注入することに関するものです。値は細かく保存され、グリッドに表示されます。 Go to this <script>window.alert('abc')</script> and fill out the FAFSA. フォームフィールド: - アラートスクリプトは、説明フィールドから実行されている下のスクリーンシ

    0

    1答えて

    owss ESAPIインターフェイスのxss保護に関する質問がありました。簡単で短く保つために、私はfortifyを使用してソースコードのレビューを行っています。 アプリケーションはESAPIを実装し、ESAPI.encoder()を呼び出して正規化(ユーザー入力)し、それ以上の検証は行わず、出力を出力します。これはまだxssに対して脆弱ですか PS:反射点はhtml要素の中にあります。 私は、ス

    1

    1答えて

    JSコードでinnerHTMLを使用するのは危険だと言われました。 と私は理由を理解しましたが、誰かがそれを使用するこれらの2つの方法の間に違いがあるかどうか教えてくれますか? FIRST: const onePersonArticle = create('article'); onePersonArticle.className = 'one-person'; const content =

    -4

    2答えて

    私は、Javascriptコードを含まないプレーンなHTMLコードを持っています。 どのような形式のJavascriptがHTMLに挿入されているかはどうですか? アプリケーションはHTMLクライアント側を生成します。それがサーバーに到着したら、それを検証する必要があります。 目標はJavascriptを削除することではなく、単にJavascriptの存在を検出することです。

    3

    1答えて

    私はやや関係のある質問div contenteditable, XSSを読んだことがありますが、答えはcontenteditableのXSSの安全性についてはあまり強調していません。特に、偶発的な(クロスサイトスクリプティングとの比較)私は、もちろん、私はユーザー入力をサーバー側で消さなければならないことに気付いています。 TL.DR.:ユーザーがページを介して外部スクリプト(クリップボードから貼