xss

¿Cómo puedo configurar las cookies en mi PHP apps como HttpOnly cookies?

El día de hoy se hizo una pregunta con respecto a estrategias de validación de entrada en aplicaciones web. La respuesta sup ... tring. Mi pregunta es: ¿Es esto siempre suficiente? ¿Hay algo más que debamos saber? ¿Dónde se descomponen estas funciones?

He configurado PHP para que las comillas mágicas estén activadas y los globales de registro estén desactivados. Hago todo lo ... t Qué más debería estar haciendo y cómo puedo asegurarme de que las cosas que estoy tratando de hacer estén siempre hechas.

Parece el punto de la ventana .postMessage es permitir la comunicación segura entre ventanas/marcos alojados en diferentes d ... ntana.postMessage(...¿no es para esto? ¿O lo estoy haciendo terriblemente mal? *Mime-type text / html, que debe permanecer.

Cualquier idea de cómo se evitaría un ataque XSS en un nodo.js app? Cualquier libs que maneje la eliminación de javascript en ... lick, etc. ¿de los datos publicados? No quiero tener que escribir una expresión regular para todo eso:) Alguna sugerencia?

Después de leer la entrada del blog de Jeff en Protegiendo sus cookies: HttpOnly. Me gustaría implementar cookies HttpOnly en mi aplicación web. ¿Cómo le dice a tomcat que use cookies solo http para las sesiones?

¿Cómo puedo prevenir ataques XSS en una aplicación web JSP/Servlet?

En el siguiente video, en el marcador de tiempo 21: 40, el presentador de Microsoft PDC dice que es importante que todo JSON ... bar y ver si soy vulnerable? Compro muchos componentes de 3 partes y tengo proveedores externos que desarrollan mi código.

Tengo muchas entradas de usuario de $_GET y $_POST... Por el momento siempre escribo mysql_real_escape_string($_GET['var']).. ... ialchars($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }

Estaba tratando de golpear un servicio web en un dominio diferente utilizando el método ajax de jQuery. Después de hacer alg ... sea más vulnerable a los ataques? Siempre he oído XSS discutido como un problema de seguridad, ¿hay usos legítimos para XSS?

No me preocupan otros tipos de ataques. Solo quiero saber si la codificación HTML puede prevenir todo tipo de ataques XSS. ¿Hay alguna forma de hacer un ataque XSS incluso si se usa codificación HTML?

Tengo una aplicación web construida sobre JSF con MySQL como base de datos. Ya he implementado el código para evitar CSRF en ... unes? Ya he revisado el sitio de OWASP y sus hojas de trucos . ¿Necesito ocuparme de otros vectores de ataque potenciales?

Tengo datos no registrados de los usuarios. Así que es seguro usar así: var data = '<test>a&f"#</test>'; ... s problemas como la codificación o algunos símbolos específicos que debo tener cuidado y agregar una validación más estricta?

User es igual a untrustworthy. Nunca confíes en la entrada de un usuario poco confiable. Lo entiendo. Sin embargo, me pregunt ... peligrosos sin saberlo o accidentalmente. De cualquier manera, ¿qué método cree la gente que es el mejor, y por qué razones?

He leído el tutorial: http://drnicwilliams.com/2006/11/21/diy-widgets / para Widgets XSS de Dr. Nic. Estoy buscando una m ... Query en un entorno desconocido (discusión de Stackoverflow) An artículo sobre pasar parámetros a una etiqueta de script

Internet Explorer 8 tiene una nueva característica de seguridad, un filtro XSS que intenta interceptar los intentos de scri ... un iframe. Para verlo en acción, visita una página AOL Food y haz clic en el icono "Imprimir" justo encima de la historia.

Acabo de encontrar una pregunta con una respuesta que sugiere la biblioteca AntiXSS para evitar el scripting entre sitios. So ... n de HttpUtility evitaría? no? Si continúo usando la implementación HttpUtility, ¿estoy en riesgo? ¿Qué pasa con este 'bug'?

¿Por qué se decidió que usar XMLHttpRequest para hacer llamadas XML no debería hacer llamadas a través del límite del domini ... nco, y el servidor web del banco sería incapaz de decir que no era solo un usuario regular que envía todos estos formularios.

¿Es posible usar cross site scripting en una hoja de estilos CSS? Por ejemplo, una hoja de estilos de referencia contiene código malicioso, ¿cómo lo haría? Sé que puedes usar etiquetas de estilo, pero ¿qué pasa con las hojas de estilo?

¿Qué debo hacer para prevenir XSS en Primavera MVC? Ahora mismo solo estoy poniendo todos los lugares donde emito texto de u ... ¿Tal vez un filtro o algo? Estoy recopilando entradas especificando @RequestParam parámetros en mis métodos de controlador.