사용자 제출 HTML의 엄격한 (화이트리스트) 유효성 검사/필터링을 수행하기위한 모범 사례를 찾고 있습니다. 주된 목적은 웹 양식을 통해 입력 할 수있는 XSS 및 유사 nasties를 필터링하는 것입니다. 보조 목적은 기술이 아닌 사용자가 입력 한 HTML 콘텐츠의 파손을 제한하는 것입니다. HTML보기가있는 WYSIWYG 편집기를 통해. HTML Pur
다음과 같은 다른 웹 페이지로 리디렉션되는 웹 페이지가 있습니다. http://www.myOtherServer.com/Sponsor.php?RedirectPage=http://mylink.com/whereIwasgoingtogo.html
그러면 Sponsor.php 페이지에 전달 된 RedirectPage로 연결되는 "계속 페이지"로 연결되는 링크가있는
이것은 내 earlier XSS question의 확장입니다. 사용자가 입력 한 URL에 대해 XSS 안전성을 보장 할만큼 강력한 Regex가 없다고 가정하면 리디렉션을 사용할 것입니다. (당신이 할 경우 하나가 다른 질문에서 추가하십시오 있지만) 우리는 그래서, 사용자 입력 웹 주소를 가지고 : 이 stackoverflow.com 그들이 원하는 다른 사용
레일스에서 출력 HTML을 살균하는 가장 좋은 해결책은 무엇입니까 (XSS 공격을 피하기 위해)? 두 가지 옵션이 있습니다. white_list 플러그인 또는 Sanitize Helper의 sanitize 메소드 http://api.rubyonrails.com/classes/ActionView/Helpers/SanitizeHelper.html입니다. 나
나에게 도청을 계속하는 간단한 질문. 사용자 입력을 즉시 HTML로 인코딩하고 인코딩 된 내용을 데이터베이스에 저장해야합니까, 아니면 표시 할 때 원시 값과 HTML 인코딩을 저장해야합니까? 인코딩 된 데이터를 저장하면 개발자가 데이터를 인코딩 할 때 코드를 잊어 버리는 위험이 크게 줄어 듭니다. 그러나 인코딩 된 데이터를 저장하면 데이터 마이닝이 다소 복
this blog post about HttpOnly cookies을 읽으면 생각하기 시작했습니다. HttpOnly 쿠키는 XSS의 어떤 형태로도 구할 수 있습니까? Jeff는 "막대를 상당히 올렸습니다"라고 말했지만 XSS를 완벽하게 보호하지는 못하는 것처럼 들립니다. 모든 브라우저에서이 기능을 제대로 지원하지는 않지만 HttpOnly 경우 해커가 사용자
제가 일하는 회사에서 유지 관리되는 여러 하위 사이트에서 사용하는 고전적인 ASP 웹 페이지를 업데이트하고 있습니다. 페이지의 목적은 사용자가 "우리"사이트를 떠나 다른 사이트로 이동하고 있음을 사용자에게 알리는 것입니다. 기본적으로 면책 조항이지만 리소스 제한 및 시간 제한으로 인해 우리가 관리하는 모든 사이트에 면책 조항을 추가 할 수 없습니다. 이것은
XSS 공격으로부터 보호하기 위해 만든 리치 텍스트 편집기가 있습니다. 나는 거의 모든 것을 다 처리했다고 생각하지만, 나는 이미지로 무엇을해야하는지 아직도 확신 할 수 없다. 지금은 내가 인라인을 차단합니다 있으리라 믿고있어 이미지 URL을 검증하기 위해 다음과 같은 정규식을 사용하고 자바 스크립트 XSS 공격 :이에서 XSS 공격에 나 잎 얼마나 개방의
html sanitiser를 쓰고 싶습니다. 분명히 제대로 작동하는지 테스트하고/입증해야합니다. XSS 예제 세트를 통해 성능을 확인해야합니다. 여기에 내가 마임 디코더를 테스트하는 데 사용되는 첨부 파일이있는 여러 중첩 된 이메일 포함하는 Mime Torture Test 거기 알고있는 nice example from Coding Horror <img sr