Django (el marco web de Python) escapa la salida para evitar ataques XSS (Cross Site Scripting). Reemplaza a ' , " , < , > , & con sus versiones seguras de HTML.
Sin embargo, esta presentación sobre l...
Siempre uso strip_tags para prevenir ataques XSS, pero hoy vi un mensaje que decía que es terriblemente inseguro. Como dice el manual, ¡no comprueba si el HTML está mal formado!
¿Es cierto?
¿Qué puedo hacer para prevenir XSS?
Supongo que la codificación HTML de la entrada probablemente sea una mejor solución, pero tengo curiosidad de que simplemente eliminar cualquier carácter < y > sería una defensa eficaz contra los ataques XSS.
¿Al hacer est...
Algunas respuestas mencionan que es posible a inyectar HTML controlado por el atacante en las imágenes y, por lo tanto, provocar XSS.
Supongo que este HTML solo será procesado por el navegador si existe un agujero en el navegador. Así que...
¿Existe una biblioteca probada con funciones para prevenir ataques XSS? Muchas personas no se dan cuenta de que htmlspecialchars no es suficiente para prevenir los ataques XSS. Hay varios contextos que necesitan su propio escape (propieda...
Desde 2009, Google ha estado usando un solo nombre de dominio para identificar sus servidores en múltiples productos:
Siguiendo la práctica estándar de la industria, nos aseguramos de que cada dirección IP tenga un nombre de host corresp...
Para protegerme contra CSRF, ¿no podría mi javascript de página simplemente insertar dinámicamente el id de sesión de la cookie en el cuerpo de cada solicitud HTTP justo antes de que se envíe?
El servidor simplemente validaría eso (valor reci...
Si hago una prueba con un clásico <script>alert(1)</script> , ¿el propietario del sitio web ve mi intento? ¿XSS deja algún rastro detrás?
Intentaré construir un pequeño servidor en mi Ubuntu con un montón de sitios web para...
Este artículo trata sobre el almacenamiento de tokens de sesión en una cookie vs en localStorage: enlace
El artículo dice:
Las cookies, cuando se usan con la marca de cookie HttpOnly, no son accesibles
a través de JavaScript, y son...
Estoy investigando una vulnerabilidad en una aplicación que se hace eco de un nombre de archivo provisto por el usuario sin sanear el nombre de archivo.
Por ejemplo, un archivo llamado test-<script>alert("evil");.txt dará como re...