xss

Как я могу установить файлы cookie в моем PHP apps как HttpOnly cookies?

Ранее сегодня был задан вопрос относительно стратегий проверки ввода в веб-приложениях. Верхний ответ на момент напи ... _string. Мой вопрос: всегда ли этого достаточно? Есть ли еще что-то, что мы должны знать? Где эти функции нарушаются?

Я настроил PHP так, чтобы магические кавычки были включены, а глобальные регистры отключены. Я делаю все возможное, ч ... ак... <script Что еще я должен делать и как я могу убедиться, что то, что я пытаюсь сделать, всегда выполняется.

У меня есть много пользовательских вводов от $_GET и $_POST... В данный момент я всегда пишу mysql_real_escape_string($ ... ars($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }

Существует ли известная XSS или другая атака, которая проходит мимо $content = "some HTML code"; $content = strip_tag ... нкретной проблеме. Это теоретический вопрос, который возник здесь. Ссылка: strip_tags() реализация в исходном коде PHP

Кто-нибудь знает хорошую функцию для фильтрации общих входных данных из форм? Zend_Filter_Input, похоже, требует предва ... одительность. Как насчет чего-то вроде: http://snipplr.com/view/1848/php--sacar-xss/ Большое спасибо за любой вклад.

Я нашел статью, в которой утверждается, что $_SERVER['PHP_SELF'] уязвим для XSS. Я не уверен, правильно ли я это поня ... ;form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>"> <!-- form contents --> </form>

Я пытаюсь создать безопасный и легкий очиститель HTML на основе белого списка, который будет использовать DOMDocument. ... приимчива к любому вектору атаки XSS, который я мог бы бросить на нее. Я высоко ценю все ваши ценные ответы, спасибо.

Допустим, у нас есть эта форма, и возможная часть для пользователя, чтобы внедрить вредоносный код, приведена ниже ... ... ode(.....), чтобы обойти кавычки, но я все еще не могу получить простое всплывающее окно с предупреждением. Есть идеи?

У меня были проблемы с XSS. В частности, у меня было индивидуальное предупреждение JS, показывающее, что у моего ввода ... пользую PHP и собираюсь реализовать htmlspecialchars(), но сначала я пытаюсь воспроизведите эти уязвимости. Спасибо!

Хотя межсайтовые сценарии обычно рассматриваются как негативные, я сталкивался с несколькими ситуациями, когда это было ... наилучший способ заставить межсайтовые сценарии работать специально для включения контента из совершенно другого домена?

Я создаю сайт, который будет доступен для ввода пользователем. Мне было интересно, можно ли написать такую функцию, ка ... ежсайтовых форм. РЕДАКТИРОВАТЬ: И если нет, то какова наилучшая практика предотвращения отправки форм с других хостов?

Я ищу рекомендации по выполнению строгой проверки/фильтрации (белого списка) отправленного пользователем HTML. Основна ... е простых стратегий, которые также эффективны? Есть какие-нибудь подводные камни, на которые следует обратить внимание?

В данный момент я применяю метод "бросить все в стену и посмотреть, что прилипнет", чтобы остановить вышеупомянутые про ... не полностью безопасно. Наверное, я спрашиваю, какие методы вы, ребята, используете и насколько они успешны? Спасибо

Я уже несколько дней рыщу по сети, пытаясь разобраться в этом, но получаю противоречивые ответы. Существует ли библио ... не было бы интересно посмотреть, как они делают это в коде. Любая помощь очень признательна, извините за длинный пост!

Если верны следующие утверждения, Все документы подаются с заголовком HTTP Content-Type: text/html; charset=UTF-8. ... ствующим именованным сущностям HTML) недостаточно для защиты от межсайтовых сценариев при создании HTML на веб-сервере?

У меня есть простой вопрос: Когда лучше всего очистить пользовательский ввод? И какой из них считается наилучшей практи ... нашел интересный пример http://forums.laravel.com/viewtopic.php?id=1789 . Есть ли другие способы решить эту проблему?

Я разработчик PHP и стремлюсь повысить безопасность своих сайтов. Насколько я понимаю, ниже перечислены два основных ... S? Существуют ли какие-либо меры предосторожности, которые разработчики должны принимать против XSS, кроме выхода из HTML?

Я пытаюсь сделать свой PHP максимально безопасным, и две основные вещи, которых я пытаюсь избежать, это Инъекции My ... т XSS? И, наконец, есть ли что-нибудь еще, что я мог бы добавить в эту функцию, чтобы предотвратить другие формы взлома?

Интересно, как (если так или иначе) обеспечивается защита XSS в Laravel. Я ничего не смог найти об этом в документации. ... ня гораздо разумнее вообще не пускать этих подлых ублюдков в базу данных. Кто-нибудь уже сталкивался с этой проблемой?