Articles of xss

Codeigniter – Disabilita il filtraggio XSS su base post

Sto provando a configurare un CMS sul retro di un sito ma ogni volta che i dati del post hanno un <a href=https://stackoverflow.com/questions/3788476/codeigniter-disable-xss-filtering-on-a-post-basis/… in esso i dati del post vengono scartati. Ho $config[‘global_xss_filtering’] = TRUE; in config La mia domanda è un modo per distriggersre il filtro xss per un elemento? per esempio $this->input->post(‘content’, true); […]

Qual è la differenza tra AntiXss.HtmlEncode e HttpUtility.HtmlEncode?

Ho appena trovato una domanda con una risposta che suggerisce la libreria AntiXss per evitare lo scripting cross-site. Sembra interessante, leggendo il blog di msdn , sembra solo fornire un metodo HtmlEncode (). Ma io già uso HttpUtility.HtmlEncode (). Perché dovrei voler utilizzare AntiXss.HtmlEncode su HttpUtility.HtmlEncode? In effetti, non sono il primo a porre questa […]

Come funziona XSS?

Qualcuno può spiegare come funziona XSS in inglese? Forse con un esempio. Googling non ha aiutato molto.

Qual è il concetto generale dietro XSS?

Lo scripting cross-site (XSS) è un tipo di vulnerabilità di sicurezza informatica tipicamente presente nelle applicazioni Web che consente agli aggressori malintenzionati di iniettare script lato client in pagine Web visualizzate da altri utenti. Una vulnerabilità di scripting cross-site sfruttata può essere utilizzata dagli aggressori per bypassare i controlli di accesso come la stessa politica […]

Come accedere al contenuto di testo semplice richiamato tramite in JavaScript?

Quando si utilizza , dove l’URL si riferisce a un file di testo semplice, c’è un modo per accedere al contenuto del file in JavaScript? Il file viene trasferito nel browser, ma il valore della proprietà innerHTML dell’elemento di script non viene modificato (rimane la stringa vuota). Ispezionare il nodo dell’elemento nel DOM non sembra […]

Cross-site XMLHttpRequest

Voglio fornire un pezzo di codice Javascript che funzionerà su qualsiasi sito web in cui è incluso, ma ha sempre bisogno di ottenere più dati (o anche modificare i dati) sul server in cui è ospitato Javascript. So che ci sono restrizioni di sicurezza in vigore per ovvi motivi. Considera index.html ospitato su xyz.com che […]

Come evitare le vulnerabilità XSS in ASP.Net (MVC)?

Di recente ho notato che avevo un grosso buco nella mia applicazione perché avevo fatto qualcosa del tipo: <input type="text" value="” /> So che avrei dovuto usare Html.Encode , ma esiste un modo per farlo per tutti i valori, senza doverlo fare esplicitamente?

È sicuro usare $ .support.cors = true; in jQuery?

Stavo cercando di colpire un servizio web su un dominio diverso usando il metodo Ajax di jQuery. Dopo aver fatto qualche ricerca sembra che questo non consenta che questo sia di progettazione per prevenire lo scripting cross-site. Mi sono imbattuto in un lavoro su cui doveva includere questa linea: $.support.cors = true; nella parte superiore […]

Come passare parametri ad un tag Script?

Ho letto il tutorial: http://drnicwilliams.com/2006/11/21/diy-widgets/ per XSS Widgets di Dr. Nic. Sto cercando un modo per passare parametri al tag script. Ad esempio, per fare il seguente lavoro: C’è un modo per fare questo? AGGIORNAMENTO: due link interessanti: Come incorporare il widget Javascript che dipende da jQuery in un ambiente sconosciuto (discussione StackOverflow) Un articolo […]

Come configura i cookie HttpOnly nelle applicazioni web di tomcat / java?

Dopo aver letto il post sul blog di Jeff su Protezione dei cookie: HttpOnly . Mi piacerebbe implementare i cookie HttpOnly nella mia applicazione web. Come si dice a Tomcat di utilizzare i cookie solo http per le sessioni?