Después de leer la pregunta sobre el referente y la respuesta de @DW, no entendí la siguiente parte:
Defensa XSS. La comprobación estricta del remitente puede realizar ataques XSS reflexivos
más difícil, porque otros sitios no pueden...
Estoy desarrollando un sitio web social y quiero permitirle al usuario SOLAMENTE estas etiquetas y atributos html en sus publicaciones:
tags: <img>, <b>, <strong>, <blockquote>, <a>
attributes: 'src', 'alt', 'wi...
Hay un campo de entrada que no se codifica en el lado del servidor. Pero si le das a un script completo, por ejemplo, <img src=a onerror=alert(1)> , muestra un error como: <img src=a....' no es un valor válido.
No tengo...
Recibí una revisión de seguridad reciente de un sitio web que mencionó que tenía una vulnerabilidad de scripts entre marcos. En resumen, mencionó que un sitio malicioso podría cargar la página en un iframe, engañando al usuario para que piense q...
Estoy creando un pequeño script web que, en su mayoría, redirige el navegador pero tiene algunas condiciones de error cuando los parámetros de entrada no se pueden validar.
Me gustaría mostrar mensajes de error como el parámetro XXX tenía un...
¿Voy a tener ataques XSS al hacer esto o se solicitará la descarga de un archivo?
¿Hay problemas de seguridad que podrían aumentar en un navegador moderno?
Supongamos que los encabezados de seguridad HTTP a continuación se aplican a todas las páginas HTML de un sitio:
Seguridad de transporte estricta de HTTP (HSTS)
Opciones de X-Frame (XFO)
X-XSS-Protection
Opciones de tipo de contenido X...
Estoy trabajando en un proyecto empresarial y tenemos un nuevo lanzamiento próximo. El equipo de seguridad ejecuta un análisis de seguridad, en ese informe de vulnerabilidad hay un punto con el que estoy luchando. El proyecto utiliza jQuery 1.4....
Me he topado con los siguientes ejemplos de ataques XSS en OWASP :
Otros ataques dañinos incluyen la divulgación de archivos de usuarios finales, la instalación de programas de caballos de Troya ...
Como sé, un ataque XSS clásico que...
Estoy probando una aplicación que solo omite los símbolos < y > . La entrada del usuario que se valida siempre se inserta entre etiquetas html como <b> , <span> , <div> , etc. y nunca se pas...