GitHub explica el problema con img-src en
"Viaje post-CSP de GitHub" :
Una etiqueta con una comilla no cerrada capturará toda la salida hasta la siguiente
cita coincidente. Esto podría incluir contenido sensible a la seguridad en...
Recientemente aprendí que las imágenes SVG (gráficos vectoriales escalables) presentan una serie de oportunidades para ataques sutiles en la web. (Consulte el documento a continuación). Si bien las imágenes SVG pueden parecer una imagen, el form...
En las recomendaciones de OWASP con respecto a
& --> &
< --> <
> --> >
" --> "
' --> ' ' not recommended because its not in the HTML spec (See: section 24.4.1) &apo...
Lo siento si esta es una pregunta demasiado trivial, pero una vez me dijeron que solo un tonto está seguro de algo: como no estoy seguro acerca de esta pregunta, estoy dispuesto a arriesgar mi cuello al preguntar de todos modos, todo en el nombr...
Me gustaría incrustar un iframe desde un sitio que no sea de confianza en la aplicación web. Iframe:
debería poder ejecutar Javascript y los complementos del navegador (Flash, etc.)
no debería poder acceder a mi aplicación web a través de...
Django (el marco web de Python) escapa la salida para evitar ataques XSS (Cross Site Scripting). Reemplaza a ' , " , < , > , & con sus versiones seguras de HTML.
Sin embargo, esta presentación sobre l...
Me parece que debido a que los usuarios pueden publicar preguntas y comentarios en ellos con el código HTML (posiblemente etiquetas <script> ), los sitios de Stack Exchange estarían muy expuestos a los ataques XSS. ¿Cómo se protege...
Recientemente publiqué esta pregunta en Revisión de código y se recomendó que les pregunte a ustedes sobre esto.
Básicamente, esto se usará para permitir que los usuarios generen contenido con formato. Se coloca dentro de las etiquetas HTML...
El título prácticamente lo dice todo. Parece contraintuitivo escapar dentro de un bloque <noscript> porque no se debe ejecutar ningún js que un atacante pueda inyectar allí. Pero, todavía soy bastante nuevo en esto, así que pensé qu...