xss

¿Hay un XSS conocido u otro ataque que lo hace más allá de un $content = "some HTML code"; $content = strip_tags($content) ... específico. Esta es una pregunta teórica que surgió aquí. Referencia: strip_tags() implementación en el código fuente PHP

Tenemos una aplicación de alta seguridad y queremos permitir a los usuarios introducir URLs que otros usuarios verán. Esto i ... r (o usar una de las excelentes sugerencias hasta ahora) que podría excluir todo lo que se me ocurre, pero ¿sería suficiente?

Las respuestas JSON se pueden explotar sobreescribiendo constructores de matrices o si los valores hostiles no son cadena de ... alerta: {"myJSON": "legit", "someParam": "12345<script>alert(1)</script>"} ¿Tengo razón o estoy equivocado?

¿Es suficiente comprobar el referente para protegerse contra un ataque de falsificación de solicitud de sitios cruzados? Sé ... pero ¿hay alguna manera para que el atacante haga eso por el cliente? Sé que los tokens son la norma, pero ¿funcionaría esto?

¿Alguien conoce una buena función para filtrar entradas genéricas de formularios? Zend_Filter_input parece requerir un conoc ... n el rendimiento. Qué tal algo como: http://snipplr.com/view/1848/php--sacar-xss / Muchas gracias por cualquier entrada.

¿Puede alguien mostrarme un ataque Cross-site scripting en efecto en mi navegador? ¿Hay algún ejemplo en Internet que haga esto? No he encontrado esto en Internet. Cuanto más simple sea el ejemplo, mejor.

¿Qué navegadores soportan las cookies HttpOnly y desde qué versión? Véase http://www.codinghorror.com/blog/archives/001167.html para una discusión de las cookies HttpOnly y XSS-prevention.

Estoy escribiendo el JS para una aplicación de chat en la que estoy trabajando en mi tiempo libre, y necesito tener identific ... o con otras alternativas. Estoy acostumbrado a desinfectar la entrada antes de que vaya a un nodo de texto, no a un id en sí.

He encontrado un artículo que afirma que $_SERVER['PHP_SELF'] es vulnerable a XSS. No estoy seguro de si lo he entendido cor ... <form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>"> <!-- form contents --> </form>

Estamos construyendo una app, nuestra primera usando Rails 3, y tenemos que construir I18n desde el principio. Siendo perfecc ... a solucionar esto? ¿O estamos condenados a la tipografía de mierda, agujeros xss, horas de esfuerzo desperdiciado o todo eso?

He tratado de poner esto: <meta http-equiv="X-XSS-Protection" content="0"> En la etiqueta <head> pero no han tenido suerte. Estoy tratando de deshacerse de ES decir molesto prevención de scirpting cross-site

Recientemente he visto XSSI mencionado en varias páginas, por ejemplo, Exploits y Defensas de Aplicaciones Web : Los na ... Entiendo XSS y XSRF pero XSSI es un poco misterioso para mí. ¿Puede alguien bosquejar un exploit basado en XSSI? Gracias

Tengo curiosidad, lo que hace www.jsfiddle.net ¿está seguro de ataques basados en XSS? Tienen soporte para cuentas, por lo que es evidente que cualquier script que ejecuten en el navegador puede hacer cosas malas.

Estoy construyendo una columna vertebral.aplicación js y me pregunto cuál es la mejor manera de tratar con XSS respectivament ... ampo de texto usando .val()? O no hacer nada de esto y escapar de los datos en el cliente, antes de renderizar la plantilla?

Estoy tratando de configurar un CMS en la parte posterior de un sitio, pero cada vez que los datos de post tienen un <a hr ... lemento? Por ejemplo $this->input->post('content', true); - lo enciende, pero ¿cómo apagarlo? Gracias a todos. PVS

Necesito permitir que los usuarios ingresen contenido Markdown en mi aplicación web, que tiene un back-end de Python. No quie ... arkdown y prevenir ataques XSS usando bibliotecas Python? (Puntos de bonificación por soportar sintaxis PHP Markdown Extra .)

Cada vez que inicio sesión en un servicio de Google, se registra automáticamente en todos sus otros sitios web en diferentes ... inguna información. Probablemente podría sacar Firebug y tratar de averiguarlo pero estoy seguro de que alguien aquí lo sabe.

Jeff publicó sobre esto en Sanitize HTML . Pero su ejemplo está en C# y en realidad estoy más interesado en una versión Java. ... ada con la seguridad, ¡cuanta más gente lo investigue, mejor será! (*) En de hecho, creo que todavía estaba en beta cerrada