![](/img/trans.png)
[英]Is the eval() function safe to use here?
我正在使用 JavaScript 學習 DOM 腳本,並認為制作一個簡單的計算器應用程序很好,我發現邏輯很容易做到,但是使用 parseInt 將字符串類型算術表達式轉換為數字類型算術表達式時遇到了問題。 我最終不得不使用 eval() function,它適用於基本的計算器應用程序,但在進一步研 ...
[英]Is the eval() function safe to use here?
我正在使用 JavaScript 學習 DOM 腳本,並認為制作一個簡單的計算器應用程序很好,我發現邏輯很容易做到,但是使用 parseInt 將字符串類型算術表達式轉換為數字類型算術表達式時遇到了問題。 我最終不得不使用 eval() function,它適用於基本的計算器應用程序,但在進一步研 ...
[英]My ReactJS frontend is importing many libraries that uses eval(); How can it be safe?
我正在學習在 ReactJS 中編寫的前端中防止 XSS 攻擊。 我嘗試使用內容安全策略標頭並將 CSP Header 配置為: 這樣只允許執行我自己來源的腳本。 但是,這使我的 web 應用程序無法加載: 現在,我 100% 確定我從未在我的 ReactJS 代碼中使用任何eval() func ...
[英]Blazor with SignalR - how is an XSS or other attack possible when storing and rendering plain string text?
在帶有 SignalR 聊天應用程序的 Blazor 服務器中,我在<input>元素中獲取用戶輸入,將其綁定到 @code 部分中的字符串,並將該字符串作為參數化查詢存儲在數據庫中。 我相信這足以防止一階 sql 注入。 我正在通過 SignalR 向前端用戶和連接到聊天應用程序的所 ...
[英]Why setting window.location.href to session storage item value is considered a DOM XSS vulnerability?
Fortify SCA 報告以下代碼存在 DOM XSS 漏洞: 例如,當用戶通過單擊鏈接進入我的應用程序並且用戶未登錄時: 該應用程序將window.location.href存儲到 session 存儲中的returnUrl項中它將window.location.href設置為外部登錄頁面當 ...
[英]Have I missed something with CSS or is DomSanitizer and Renderer2 causing my CSS to not flow or inherit as it should?
背景故事。 我正在創建自己的日歷,並且 Angular 具有內置的安全功能以供使用 innerHTML。 我不會說謊,我是新手,所以我的代碼並不漂亮,抱歉。 我正在學習一些教程並在進行時添加一些東西。 這是使用 innerHTML 將 function 構建到我的 html 中。 這個 funct ...
[英]Perform XSS attack despite input filter with trim() and striplashes() in php
對於一個大學項目,我必須構建一個包含 XSS 防御機制的環境。 一種這樣的機制是輸入過濾器。 這是寫在 php 中的,刪除/剝離導致執行 xss 攻擊的字符。 代碼如下所示:static function inputFilter($data) { $data = trim($data); ...
[英]Cross Site Scripting (XSS) Prevention on C#
我在 C# 上有以下代碼,目前在代碼掃描期間被檢測為潛在的 XSS 攻擊。 我確實嘗試了 Regex.Replace() 函數,但這在這種情況下似乎不起作用。 我發現了很多針對這種 XSS 攻擊的預防解決方案,但主要是針對其他編程語言。 C#如何申請本案例的XSS防范? ...
[英]in svete, what to use instead of @html, to avoid xss attacks?
我正在為一個網站創建一個小聊天,前面很苗條。 當用戶在文本字段中輸入他們的提示時(在我的例子中,它是一個 contenteditable div),我抓住它並做兩件事:我用 websocket 將它發送到后端,以在其他用戶的 windows 上顯示它,然后我直接在發件人聊天 window 上打印, ...
[英]Any way to load user specified https page inside popup.html of browser extension?
我想讓用戶通過我的 popup.html 瀏覽器擴展中的服務進行身份驗證,但是無法預定義他們使用的服務的 url(例如,不同的服務器位於不同的 URL)並且身份驗證必須超過 HTTPS。目前他們輸入他們服務器的 url,我打開一個新的 window,監控 url,並從 url 獲取 Auth 密鑰 ...
[英]XSS, why is alert(XSS) used to find/demonstrate xss vulnerabilities?
我想知道為什么 alert() 經常用於演示 XSS 漏洞。 如果我沒記錯的話,XSS 意味着攻擊者應該能夠在受感染的客戶端和攻擊者的服務器之間建立雙向通信。 只是這是一種非常直觀的方式來證明攻擊是可能的(因為它使用與實際有效載荷相同的字符)或者還有更多? 我試圖在網上查找它,但什么也沒找到... ...
[英]Is there a risk to XSS attacks when assigning the input element value?
為使用 vanilla js 創建的input元素賦值會導致 XSS 漏洞嗎? 例如 ...
[英]Angular DomSanitizer adding extra tags to html sent as strings
在將值<div><div>傳遞給 sanitize() 函數時,它會返回<div><div></div></div> 返回 this.domSanitizer.sanitize(SecurityContext.HTML, val ...
[英]Checkmarx Scan Report shows severity as High
也許有人可以幫我解決這個問題? Checkmarx 將其作為高嚴重性返回給我,我不知道為什么? 客戶端 DOM 存儲的 XSS\Path 6:要驗證的嚴重性高結果狀態 “應用程序的功能在 /js/source.js 的第 15 行使用 append 將不受信任的數據嵌入到生成的輸出中。這種不受信 ...
[英]HTML Sanitizer API - Angular (mXSS)
我有一個關於 HTML Sanitizer API 和 Angular 的問題。我可以從 Angular 的源代碼中讀到,它們有自己的方法來防止 mXSS。 最近我讀到HTML Sanitizer API讓瀏覽器進行清理,因為瀏覽器最清楚它將要執行什么。 我找不到 Angular 在其源代碼中的任 ...
[英]content security policy for navigation links
在我的項目中,我有后端(spring boot)和前端(angular)。 網絡安全團隊希望在每個頁面的響應標頭中包含 CSP header。 我已經在我所有經過身份驗證或未經身份驗證的端點上向他們提供了 CSP header,但他們也希望它出現在僅從前端呈現的導航鏈接上,例如“/登錄”。 因此,我 ...
[英]Sanitize val() to append to avoid XSS
目前我正在使用 checkmarx 來查找 mi 代碼的漏洞。 當我使用 jquery val() function 然后嘗試 append 這個 val 時,javascript 文件顯然有一些潛在的 xss 漏洞。 我應該如何解決、清理或編碼以避免這個問題? 這里有一些關於 checkmarx ...
[英]checkmarx scan issue with the js code $(this).attr('name')
我在我的js文件中寫了下面這行代碼 並且 checkmarx 掃描在上面的行拋出以下錯誤 “應用程序在生成的 output 中嵌入不受信任的數據,在 com.js 的上述行中。這些不受信任的數據未經適當的清理或編碼直接嵌入到 output 中,使攻擊者能夠將惡意代碼注入 output。” 有人可以告 ...
[英]How to allow the execution of inline event handler in CSP with the 'unsafe-hashes'
我們正在嘗試啟用內容安全策略來防止 XSS,因此我們將 script-src 設置為“self”以避免內聯腳本。 但是,我們的應用程序正在使用具有內聯事件處理程序的第三方 javascript 庫。 我們讀到添加帶有 sha256 hash 的 unsafe-hashes 屬性,以允許該特定庫執行內 ...
[英]Bypassing object freezing in <head> (of an extensively protected website)
背景我遇到了一個網站,上面有廣告橫幅。 當廣告攔截器或類似內容刪除橫幅元素時,網站會退回到關於無法加載廣告的垃圾郵件alerts ,從而使觀看體驗比廣告更差。 我喜歡修補並嘗試破壞網站上的此類“保護”,但是,此時我沒有主意。 有問題的網站似乎采用了廣泛的保護措施來防止一般的篡改,所以雖然這個問題“ ...
[英]How to simulate XSS in ASP.NET?
我想要一個簡單的方法來模擬 XSS 攻擊。 我創建了 asp.net 核心 5.0 mvc,然后添加了 controller: 然后啟動 /helloworld/welcome?name=<script>alert("hello")</script>,期望顯示警報,但它顯示 ...