个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我不知道是否可以阻止将 JavaScript 引用文件脚本注入(inject)网页,但我看到一些网站会阻止您在注入(inject)的 JavaScript 引用文件脚本中运行函数,除非它是页面注册的 JavaScript .例如,我能够将具有不同前缀的 10 个不同的 JQuery 脚本(具有不同的版本)注入(inject)到 Google Mail 中,但它们在阻止您执行某些 JQuery 命令方面做得非常出色。您可以执行一些操作,但只能获取数据(不能设置数据)...例如 $jquery171('html').html() (这只是查看页面的源代码)。如何防止其他脚本像在 Google Mail 中一样在我的网页中运行?以前有人这样做过吗?
最佳答案
您所说的漏洞称为 Cross-site Scripting ;简称 XSS。 OWASP 的 top ten project还将向您介绍作为 Web 应用程序开发人员应注意的其他常见攻击。
为了保护您自己的代码免受 XSS 攻击,您绝不能将用户提交的数据打印到所提供的输出 HTML 页面。您必须根据您在 HTML 结构中打印用户数据的位置,以上下文相关的方式对数据进行编码。请注意,所有不是来自您自己的程序的数据都应视为不受信任的 - 包括 HTTP header 、URL、cookie、表单 POST 数据以及来自“外部”系统(如数据库)的数据。
参见 XSS Prevention cheat sheet很好地理解 HTML 输出的输出编码的基本原理。
无论您是否认为自己是恶意的,您对谷歌所做的事情都是非法的。您正在有效地执行 [部分] 渗透测试以确定他们的代码对 XSS 的漏洞。虽然 GMail 可能不太介意这类事情——当然,他们必须处理恶意垃圾邮件 HTML 电子邮件——但其他一些网站的所有者肯定会介意;在美国,有人因所做的远远低于您描述的事情而被捕并受到指控。
开发您自己的网站以进行测试。您无权测试其他人的安全性。考虑查看像 WebGoat 这样的项目和 Gruyere给你一个你可以合法攻击的环境。
关于javascript - 如何防止注入(inject)的 JavaScript 文件引用代码在我的网页中运行?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10294992/
25
4
0
这个问题与窗口处理或多个浏览器窗口的杂耍无关,而是关于在同一窗口中浏览 Web 应用程序的网页。我遇到这样的情况 1.我导航为屏幕 A->屏幕 x->屏幕 Y->屏幕 B 2.我需要捕获首次登录时屏幕
我有这个要求: The system will record the length of time the user displayed each page. 虽然在富客户端应用程序中微不足道,但我不
我在调试 JavaScript 网页时遇到问题。我遇到困难的地方是我标记 (...) 的地方。我收到未定义的错误。我是否将函数 countDown(start, Increment) 中的参数(即 s
需要一些帮助。我刚开始学习 HTML,今天一直在研究如何制作菜单,但在这样做时遇到了问题。 我似乎不知道如何在屏幕上居中显示菜单。 这就是我目前所拥有的; Home
我想通过单击按钮将小程序的任何参数发送到浏览器。 (HTML)。我知道按钮对象有一些方法,但不知道使用哪个。我怎样才能做到这一点?ps .: 我使用的是 jnlp 协议(protocol)。 类似于:
我应该使用Wikipedia的文章链接数据转储从组织的网站中提取代表性术语。 为此,我已经- 抓取并下载了该组织的网页。 (〜110,000) 创建了Wikipedia ID和术语/标题的字典。 (约
我的网页中包含 javascript 函数... function callFromAndroid(varName) { alert("call from android activated by
我想创建一个 Java 应用程序,允许用户导入网页并能够在程序中对其进行编辑。 导入网页将对其进行渲染,并且页面的组件(图像、文本等)将是可编辑或可拖动的,从而允许用户重新布局组件。 例如,用户可以加
当我们按下按钮时,我向 JFrame 添加了一个网页(网页在同一框架中打开)。效果很好。但我想向其中添加一个scrollPane,但是当我添加 JScrollPane jsp = new JScrol
我在使用 particles.js 时无法将图像居中。图像居中,但略微偏离中心。为什么要这样做,我如何才能将它居中? html particles.js demo CSS
我正在尝试在加载页面时播放音频,它应该非常简单但我无法完成。 问题是它没有播放,我尝试检查自动播放的状态(真/假),它说它在页面加载时播放,尽管它没有播放,还尝试制作一个将改变自动播放的功能状态为
我正在尝试显示用户从列表中选择的图像,但我在屏幕上看不到任何内容。 .container { position: relative; } .ce
这听起来有点奇怪,但我需要一些帮助,网页必须有一行必须包含三个部分,第一部分必须有 1 列的偏移量,并且部分之间的空间必须是 10px到目前为止,使用 Bootstrap 一切顺利。 现在第二行将有
这个问题在这里已经有了答案: Web and physical units (2 个答案) Div width in cm (inch) (6 个答案) 关闭 9 年前。
这个问题不太可能帮助任何 future 的访问者;它只与一个小的地理区域、一个特定的时间点或一个非常狭窄的情况有关,这些情况并不普遍适用于互联网的全局受众。为了帮助使这个问题更广泛地适用,visit
我想将我的 IPython 笔记本的宽度设置为 2500 像素,并且我希望它左对齐。我该怎么做? 我使用这段代码来应用我自己的 CSS: from IPython.core.display impor
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 7 年前。 Improve this q
我在 Word 中制作了一份文档,希望人们在其中添加自己的姓名以及他们的教学经验。我已将其保存为网页并发布到此处: http://epicforum.net/TS ...但操作部分实际上就是这样: h
这个问题在这里已经有了答案: Execute JS code after pressing the spacebar (5 个答案) 关闭 4 年前。
我正在开发一个只有两个页面的网站。 1.登录 2.首页 我正在使用 Angular 框架。 app.config(['$routeProvider', function ($routeProvider
我是一名优秀的程序员,十分优秀!