Articles of security

Вход в систему iFrame

Мой прототип пользовательского интерфейса требует, чтобы я постоянно показывал информацию о входах в сайты. Либо я должен показать обычное текстовое поле имени пользователя и пароля, либо «вы вошли в систему как». Последний бит не должен быть безопасным, так как это только информация для пользователя, я не буду использовать серверную часть. Но первая часть должна быть […]

PHP Security – объединение функций strip_tags (); & htmlspecialchars ();

Я хочу, чтобы пользователи форума могли вставлять ссылки и другие допустимые tags. Например, я хотел бы, чтобы следующий HTML-код в сообщении отображался как предназначенный писатель (т.е. как функционирующая ссылка): A page Тем не менее, я хочу поддерживать некоторый уровень безопасности и читаю на strip_tags () и htmlspecialchars (). Сначала я подумал, что могу использовать strip_tags […]

Проблема с SCP (политикой безопасности) с pouchdb

Я вижу ошибку в консоли при запуске моего ionic приложения на моем устройстве Android: Refused to connect to ‘blob:http%3A//192.168.0.12%3A8100/9d72a06a-c6fa-4397-976c-41ea23f90be0’ because it violates the following Content Security Policy directive: “default-src *”. Note that ‘connect-src’ was not explicitly set, so ‘default-src’ is used as a fallback. i @ pouchdb.min.js:9 (index):28 Uncaught SecurityError: Failed to execute ‘open’ on […]

Санизировать все скрипты из строки html

Буфер обмена HTML5 является удивительным, но я ищу способ сделать его безопасным. Пользователь вставляет текст / html на мою веб-страницу. Это позволяет им вставлять изображения, таблицы и т. Д. Я ищу способ удалить все скрипты из вставленного содержимого, прежде чем я добавлю его на страницу. Мне нужно удалить элементы , а также другие способы выполнения […]

Риски безопасности из пользовательского HTML

Я использую contentEditable div, который позволяет пользователям редактировать HTML-код тела, а затем отправлять его прямо на сайт с помощью запроса AJAX. Естественно, я должен сделать некоторые проверки безопасности. Наиболее очевидным было обеспечение того, чтобы tags скриптов не были отправлены путем поиска <script в представленном HTML. Это выполняется после первого запуска htmlentities , переноса данных на […]

Использует ли eval () для данных только один серверный сейф? (а если нет, альтернативы, пожалуйста)

Я создаю веб-сайт, где я делаю запросы ajax для загрузки некоторого динамического содержимого ПОСЛЕ того, как я загружаю статическую страницу контейнера. В принципе, мне нужно передать массив целых чисел на страницу с сервера, и я использую jQuery для загрузки данных. Я пишу ints внутри тега с известным именем и используя eval для чтения данных из […]

Как обнаружить скрытую фальсификацию поля?

В форме моего веб-приложения у меня есть скрытое поле, которое мне необходимо защитить от подделки по соображениям безопасности. Я пытаюсь найти решение, в котором я могу определить, было ли изменено значение скрытого поля, и отреагировать соответствующим образом (т. Е. С сообщением об ошибке «Что-то пошло не так, попробуйте еще раз»). Решение должно быть достаточно безопасным, […]

Что не так с использованием DateTime.Now. как основная часть уникального идентификатора?

Раньше я использовал RNGCryptoServiceProvider для создания строковых идентификаторов заказа, но было 4 экземпляра, где ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@$%^*()_- создавал уже существующий Идентификатор заказа. И это заставило меня задуматься … Почему мы не можем просто использовать что-то вроде: … @GenerateOrderId() … а также: public string GenerateOrderId() { return “OID” + DateTime.Now.Year + DateTime.Now.Month + DateTime.Now.Day + DateTime.Now.Hour + DateTime.Now.Minute […]

Google caja – заблокировать вредоносный код

Мне нужен безопасный html на моем сайте. Я читал, хотя руководство по кайсе, и я не уверен, понимаю ли я его. https://developers.google.com/caja/docs/gettingstarted/ Я думаю, это происходит так: Пользователь отправляет вредоносный контент на мой db Я хочу это сделать. Caja распознает вредоносный код и блокирует его. Но как это сделать, хотя кая? Они не объясняют это […]

Как криптографически проверять реквизиты веб-страницы?

Как криптографически проверять реквизиты веб-страниц в HTML? Например, если у меня есть внешний ресурс, такой как изображение, таблица стилей или (что наиболее важно) сценарий в сети потенциально ненадежной доставки контента, можно ли заставить клиентский браузер криптографически проверять hash загруженного ресурса перед использованием? Есть ли какой-то HTML-атрибут или схема URL для этого или вам нужно вручную […]