Angular 10 - 清理樣式和腳本,以字符串形式提供
[英]Angular 10 - Sanitizing style and script, provided in a string
我試圖弄清楚DomSanitizer在 Angular 10 中是如何真正工作的。 我一直在嘗試清理以下 CSS 字符串,但沒有任何運氣: 在上面的代碼片段中, result常量變量總是等於testString 。 我期望發生的是: result應該只包含color: blue; 並且從字符串 ...
什么字符不能作為 url 的最后一個字符?
[英]What characters can't come as the very last character of a url?
我正在嘗試從 Python 中的文本中獲取所有 url 鏈接。 說這是文字: 我可以使用string.split()然后一個一個檢查每個單詞。 但是,它會返回google.com, (注意逗號)。 我可以使用另一個函數去掉逗號,但如果它是goole.com! 或google.com. 或等。從理 ...
在保護評論表單和相關 API 端點時,是否應該在瀏覽器、服務器或兩者中對輸入進行清理、驗證和編碼?
[英]When securing a comment form and related API endpoint, should input be sanitized, validated and encoded in browser, server or both?
我試圖在沒有用戶身份驗證的非 CMS 環境中盡可能地保護評論表單。 該表單應該對瀏覽器和 curl/postman 類型的請求都是安全的。 環境 后端 - Node.js、MongoDB Atlas 和 Azure Web 應用程序。 前端 - jQuery。 下面是對我當前工作實現的詳細概述 ...
當用戶輸入是節點 postgres 中的模式名稱時清理用戶輸入
[英]Sanitizing user inputs when the user input is a schema name in node postgres
我正在使用https://node-postgres.com/編寫一個相當簡單的應用程序,但我確實有一個復雜的約束導致了我的問題。 也就是說,我需要我的 SQL 語句到 select 一個基於用戶輸入的模式 但是當我嘗試正常參數化它時,我得到一個語法錯誤{"errorType":"error","e ...
使用地理從描述中提取國家信息
[英]Extracting country information from description using geograpy
問題:我想從用戶描述中提取國家信息。 到目前為止,我正在嘗試地理 package。 我喜歡輸入不是很清楚時的行為,例如在 Evesham 或 Rochdale 中,但是,package 將一些字符串解釋為Zaragoza, Spain兩次提及,而用戶正在清除說它的位置在西班牙。 不過,我不知道為什么 ...
保護 <、> 和 & 足以清理 Swing 組件中的 HTML 嗎?
[英]Is guarding <, >, and & enough to sanitize HTML in Swing components?
我有一個任意字符串。 我想將MyString放在 HTML 文檔中,例如 我不想讓 MyString 使用標簽做任何 HTML 格式,但我也不想使用&charcode;轉義每個字符。 (這是我的后備計划)。 用&lt;替換< , >和&是否足夠? , &am ...
MongoEngine:是否以及如何清理搜索和數據輸入?
[英]MongoEngine: if and how to sanitize search & data input?
我在一個項目中使用MongoEngine ,我想知道在創建文檔和搜索文檔時是否以及如何清理用戶輸入。 例如,當我通過提供來自諸如抓取的 RSS 提要(使用 feedparser)之類的資源的數據來創建文檔時,它們幾乎可以將任何類型的字符串作為數據: RSS( rss_link=news.l ...
如何處理用戶輸入文件(圖像/視頻)?
[英]How to deal with user input files (images / video)?
在我們公司,我們必須處理大量的用戶上傳,例如圖片和視頻。 現在我想知道:你們如何在安全方面“處理”? 圖像是否可能包含惡意內容? 當然,還有“不想要的”像素,比如色情或其他東西。 但這不是我現在的意思。 我的意思是在解碼時“破壞”機器的圖像等。我已經看到了這個: 病毒如何存在於圖像中。 基本上我打 ...
從 XSS 攻擊中清理輸入請求參數
[英]Sanitize an input request param from XSS attack
我正在努力保護我的應用程序的輸入請求參數免受 XSS 攻擊。 我遇到了 owasp 備忘單,用於防止 XSS 攻擊。 我按照https://github.com/owasp/java-html-sanitizer上的說明進行操作。 我已經設法通過使用以下代碼阻止了 XSS 攻擊(通過提供附加到輸入參 ...
URL編碼和過濾清理輸出問題
[英]URL encode and filter sanitize output problems
我試圖弄清楚為什么在對URL進行編碼時,清理過的字符串與未清理過的字符串的輸出方式不同。 我不知道這叫什么,但是我已經搜索了URL編碼和清理並嘗試了google,但找不到任何解釋。 我在發布視頻后偶然發現了這個問題,問題是我在數據庫中插入了標題,將其提取出來並創建了一個URL。 ...
如何在沒有外部模塊的情況下清理 Python 3 文本塊?
[英]How to sanitise a block of text Python 3 no external modules?
最近被設置了一個hackerrank,我無法在不破壞Python 3中的文本的情況下從標簽中正確清理文本塊。 提供了兩個示例輸入(如下),挑戰在於清除它們以使其成為安全的普通文本塊。 完成挑戰的時間已經結束,但我很困惑我怎么會得到如此簡單如此錯誤的東西。 任何有關我應該如何處理的幫助將不勝感激。 ...
如何在前端js文件中安裝、導入和使用DOMPurify?
[英]How to install, import and use DOMPurify in frontend js file?
這更像是一個“你能確認這是正確的嗎”類型的問題,因為我認為我在寫問題的過程中解決了它,但希望它會幫助其他在談到問題時有點猶豫的人實施DOMPurify 。 精簡版 在前端js文件中像這樣導入和使用DOMPurify是否安全/有效: 詳細版本 目前我的主要前端 js 文件使用這些約定導入: ...
對Java對象使用JsonSanitizer
[英]Using JsonSanitizer for Java Objects
我們需要清理一個作為Java對象接收的Json,如下例所示 @Path("/agent”) @POST @Produces(MediaType.APPLICATION_JSON) @Consumes(MediaType.APPLICATION_JSON) public Response add ...
android中的輸入參數清理,以避免漏洞
[英]Input parameter sanitization in android for avoiding vulnerabilities
最近,雖然我的android應用程序審核程序的源代碼審核提出了幾點建議,例如路徑操縱,隱私侵犯攻擊? 從最近幾天開始,我一直在尋找適當的解決方案,但找不到任何卓有成效的解決方案。 請為我以下查詢提供解決方案。 如何防止攻擊者操縱文件路徑? 如何驗證參數以使攻擊者無法更改此 ...
URL不能以字符結尾嗎?
[英]Characters a URL can't end with?
Web瀏覽器URL(http / https) 不能以什么字符(如果有)結尾? 據我所知,不使用控制字符,例如 \\0無。 \\t標簽。 \\n換行符。 空間(從測試看來,這已被剝奪)。 是否有此類字符的完整列表? ...
PHP文件上傳中未記錄的清理
[英]Undocumented sanitization in PHP file upload
根據PHP官方文檔 ,在處理文件上傳時,應針對目錄遍歷和其他可能的攻擊對文件名進行清理: 盡管如此,我發現默認情況下,文件名在到達PHP腳本時已被清除。 我有證據表明Apache收到了惡意文件名:filename =“ ../ file.png”,而PHP腳本改為在$ _FILES ...
使用循環將各種參數添加到SQL查詢
[英]Using a Loop to add varying parameters to an SQL Query
因此,我試圖在C#中的表單上使用條件語句和復選框來有條件地構建MySQL SQL查詢。 我看不到很多話題,所以我做錯了(很可能),或者我錯過了一些簡單的事情。 無論哪種方式,我都碰壁了,可以使用一些幫助。 這是場景:我正在嘗試在c#中為我的MySQL數據庫創建一個搜索表單,並且取決於用 ...
查找句子中數組中所有出現的字符串列表,並用短划線替換除第一個字母以外的所有內容
[英]Find all occurrences of list of strings in array inside a sentence, and replace everything except the first letter with dashes
我需要在一個句子中找到所有出現的字符串數組(原始$ list有超過780項),並用html破折號替換除第一個字母以外的所有內容。 這是我目前的代碼: 這是目前的結果: 你好,我認為你不聰明,你實際上 - 和 - 結果應該是: 你好,我認為你不聰明,你實 ...
清理文本輸入以顯示在HTML頁面上
[英]Sanitise text input for display on HTML page
為我們的網站建立了聊天程序。 該程序的一部分確實允許網頁注釋區域用於聊天頁面。 因此,存在文本輸入,因此可以輸入文本並在頁面上重新顯示。 顯然,這具有潛在的風險。 因此,為了使輸入的文本字符串安全在網頁上顯示,我可以只允許<和> chars及其編碼的xml和hex等 ...
PHP:是什么會導致FILTER_UNSAFE_RAW返回FALSE?
[英]PHP: what could cause FILTER_UNSAFE_RAW to return FALSE?
從久違的劇本中恢復過來后,我陷入了突然失敗的清理過程。 我在意外返回false的過濾器中發現了問題。 這是一個復制我意外結果的示例: 我認為FILTER_UNSAFE_RAW應該只是返回輸入(在這種情況下為數組)不變。 我的理解/方法是否錯誤? 注意: 我的代碼必 ...