beef-xss

ruby-on-rails - 仅在某些页面上使用 rails_xss

我正在使用rails_xss运行Rails2.3.14插入。我有另一个用于创建管理仪表板View的插件。我的问题是rails_xss正在转义我的仪表板插件生成的所有HTML。有没有一种方法可以将rails_xss配置为不转义匹配example.com/admin或基于目录(app/views/admin)或任何类似的页面结果一样吗？最佳答案更新仪表板生成插件以使用raw或html_safe进行内容输出可能会更简单。关于ruby-on-rails-仅在某些页面上使用rails_xss

ruby-on-rails - 我将 Rails3 与 tinymce 一起使用。如何呈现用户关闭浏览器javascript然后输入xss？

我有一个用Rails3编写的站点。我的帖子模型有一个名为“内容”的文本列。在帖子面板中，html表单使用tinymce将“content”列设置为textarea字段。在首页，因为使用了tinymce，post.html.erb的代码需要用这样的原始方法来实现。.好的，现在如果我关闭浏览器javascript，这个文本区域可以在没有tinymce的情况下输入，也许用户会输入任何xss，比如alert('xss');.我的前台会显示那个警告框。我尝试sanitize(@post.content)在posts_controller中，但sanitize方法将相互过滤tinymce样式。例如

ruby-on-rails javascript code section tinymce ruby xss

ruby-on-rails - 清理 URL 以防止 Rails 中的 XSS

在Rails应用程序中，用户可以创建事件并发布URL以链接到外部事件站点。如何清理url以防止XSS链接？提前致谢XSS示例，rails的清理方法无法防止@url="javascript:alert('XSS')"">testlink 最佳答案一旦href已经在标签中，请尝试清理:url="javascript:alert('XSS')"sanitizelink_to('xsslink',url)这给了我:xsslink 关于ruby-on-rails-清理URL以防止Rails中的X

ruby-on-rails 以防 section code pre ruby xss

ruby-on-rails - Ruby on Rails 和 XSS 预防

RubyonRails中防止XSS的做法有哪些？我在网上发现了许多旧文档，大部分时间都是关于使用h/html_escape帮助程序转义来自用户的任何变量。我从较新的文档中了解到，在2.0及更高版本中有sanitize方法，自动清除假定的输入恶意输入。是否足够，或者您是否正在做更多的事情来保护您的应用程序？最佳答案 h方法仍然是转义字符串中所有HTML的方法。您应该在输出内容的任何地方使用此方法。这种行为将在Rails3中发生变化。默认情况下所有输出都将被转义，您需要明确指定不对其进行转义。同时，如果您经常忘记使用此h方法，您可能需

ruby-on-rails 预防 section code strong ruby security xss

Javascript 清理 : The most safe way to insert possible XSS html string

目前我正在将此方法与jQuery解决方案结合使用，以从可能的XSS攻击中清除字符串。sanitize:function(str){//returnhtmlentities(str,'ENT_QUOTES');return$('').text(str).html().replace(/"/gi,'"').replace(/'/gi,''');}但我觉得它不够安全。我错过了什么吗？我在这里尝试了phpjs项目中的htmlentities:http://phpjs.org/functions/htmlentities:425/但它有点错误并返回一些额外的特殊符号。也许是旧

Javascript possible code section htmlentities xss html-sanitizing

java - XSS攻击防范

我正在开发一个网络应用程序，用户可以在其中回复博客条目。这是一个安全问题，因为它们可以发送将呈现给其他用户(并由javascript执行)的危险数据。他们无法格式化他们发送的文本。没有“粗体”，没有颜色，什么都没有。只是简单的文字。我想出了这个正则表达式来解决我的问题:[^\\w\\s.?!()]因此，任何不是单词字符(a-Z、A-Z、0-9)、不是空格、“.”、“?”、“!”、“(”或“)”的内容都将被替换为空字符字符串。每个引号都将替换为:“"”。我在前端检查数据，在我的服务器上检查。有人可以绕过这个“解决方案”吗？我想知道StackOverflow是如何做这件事的？这里有

防范 java section 39 strong javascript security xss

javascript - 什么是基于 DOM 的 XSS？

基于DOM的XSS文档很少。我已经知道反射XSS和存储XSS是什么了。最佳答案这里有很好的资源:DOMBasedXSSTestingforDOM-basedCrosssitescriptingDOMBasedXSS(orasitiscalledinsometexts,“type-0XSS”)isanXSSattackwhereintheattackpayloadisexecutedasaresultofmodifyingtheDOM“environment”inthevictim’sbrowserusedbytheorigina

javascript DOM section the xss

javascript - 如何在 HTML 下载中避免 XSS？

我们有一个内部网络应用程序，充当用户可以上传文件的存储库。这些文件可以是任何格式，包括HTML页面。我们已经在IE8中进行了测试，如果您下载一个HTML文件，其中包含一些试图访问您的cookie的脚本，并且在下载后，您选择“打开”选项，该脚本将毫无问题地执行并获取您的cookie信息完全没有。实际上，该脚本可以使用XmlHttpRequest对象调用服务器，并在下载文件的用户的session中执行一些恶意操作。有什么办法可以避免这种情况吗？我们已经测试过，Chrome和Firefox都不会让这种情况发生。如何在任何浏览器(包括IE8)中避免这种行为？最佳答

何在 javascript section 中进 cookie internet-explorer-8 xss

javascript - Google Custom Search Engine 是如何解决 XSS 的？

我一直在考虑构建一个服务，该服务将使用与GoogleCSE所使用的方法类似的方法-https://developers.google.com/custom-search/docs/js/rendering我无法理解Google如何绕过XSS。是因为他们托管了他们能够写入DIV的JS文件吗？他们使用CORSheader吗？如果您有使用此模式的经验，请分享您的意见。最佳答案它结合了同源请求和jsonp。它通过请求www.googleapis.com/customsearch/v1element和www.google.com/uds标

javascript Google section com jsonp xss cors google-custom-search

javascript - XSS - 哪些浏览器会自动转义地址栏中的网址？

我一直在表演一些xss/javascript-injection/penetration-testing在我的asp.net最近网站注意到现代web-browser(即最新的FF和Chrome)正在转义输入到地址栏中的url。所以:http://example.com/search/?q=">alert('hi');作为以下内容发送到我的服务器:http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e是否有所有(主要)浏览器的列表，这些浏览器执行此操作，哪些不执行此操作？移动浏览器会

javascript XSS questions noreferrer noopener asp.net browser penetration-testing

12 3 4