Articles of xss

发送到CouchDB时,Json格式不正确

在使用node.js作为代理来防止xss问题时,我有一个向前发送json的问题。 logging收到的数据时,我找不到任何问题。

在我的nodejs服务器防止xhr攻击

我正在开发一个nodejs服务器,它将与客户端移动应用程序进行交互。我在服务器上遇到了一些名为XSS和XHR的攻击。我遇到了一个名为node-validator的模块,这对于处理和validationinput非常有用。我需要一个想法是否XSS和XHR攻击有相同的效果,如果该模块是有用的两个。任何想法,这将是非常有益的。

在Javascript中转义错误信息

我在我的程序中有这个代码: res.send('<html><script>window.opener.alert("' + message + '");window.close();</script></html>'); 现在… message是我不能真正预测的东西,虽然它确实从一个已build立的API中回来,它应该是可以的。 但是,“应该”还不够好。 我意识到我必须逃脱任何" (或者它会打破string),但是… 我需要逃避什么吗? 是否有准备好的function呢?

将ejs的variables传递给javascript(服务器到客户端),同时避免XSS问题

这似乎是使用ejs将variables传递给JavaScript的可接受的方式是这样的: <script> var foo = <%- JSON.stringify(foo) %>; </script> 但是我遇到了使用这种方法的XSS问题,并想知道是否有一个更好/更安全的方法。 这个例子显示了这个漏洞。 这从JSON.stringify("</script><script>alert('test')</script><script>")返回"</script><script>alert('test')</script><script>"和<%- %>运算符不会转义结果。 它也适用于对象: 这里的例子 <script> var test = { "text": "</script><script>alert('test')</script><script>" } </script> 有没有更安全的方法来处理这个问题?

在ejs <2.5.5中检测到已知的中等严重程度的安全漏洞

我在GitHub上获得了一些项目的警报: 我们发现您所贡献的存储库使用的某个依赖项存在潜在的安全漏洞。 在package.json中定义的ejs <2.5.5中检测到已知的中等严重性安全漏洞。 package.json更新build议:ejs〜> 2.5.5。 我可以通过在package.jsonbuild议更新来摆脱警告,并且npm update似乎没有问题。 但我有点不情愿开始搞生产服务器。 该漏洞的https://nvd.nist.gov/vuln/detail/CVE-2017-1000188创build于11.16.2017。 在惊动的项目中, ejs被express使用,而express只和sequelize一起使用。 有没有人了解这个漏洞? 在ejs被静态和内部使用的情况下,XSS将如何可能? 在ejs – > express – > sequelize可能容易受到XSS攻击的情况下,是否有真正的用例?

安全的Node.js聊天(避免XSS)

我正在与Node.js和socket.iobuild立一个简单的小聊天 当用户键入他的消息时,它被广播给所有其他用户。 服务器发送消息: io.sockets.emit('fromServerToClient', { "message": message }); 客户端显示它: socket.on('fromServerToClient', function (data) { $('#messages').append(data.message + '<br />'); }); 但是当你发送像<script>alert(1);</script> ,它会在每个客户端浏览器上执行。 这是一个严重的安全缺陷,我想尽可能避免它。 我看到有人逃跑,但是我不认为这是足够的! 我怎么能100%确定我的聊天没有XSS漏洞? 顺便说一下,我总是指定字符集以避免UTF-7攻击。 谢谢你的帮助。

JS库来清理用户的数据?

所以我使用nodejs来写这个网站。 现在这个页面上有一个小聊天论坛,向各种js,html等注入。 只是想知道如果你们知道一个JS脚本/库,可以消毒我从用户获得的数据?

反向代理是否使node.js安全?

我想将node.js放在云中,以获取具有敏感公司信息的应用程序。 恐怕node.js不像一些较旧的服务器那么安全,因为它并没有被大量使用。 我看到有人build议使用反向代理来使它更安全。 我了解它是如何安全的,因为它不直接暴露于世界。 但是,xss和其他攻击仍然是可能的。 仅从安全的angular度来看,任何人都认为node.js与旧的服务器是一致的? 关于“如何说服老板+公司安全团队”的提示?

下面的JavaScript安全的从任意代码执行?

我正在贡献一个JavaScript框架,具有相当于下面的代码: eval("'" + user_input.replace(/'/g, "'") + "'"); 我知道这很糟糕 – 不需要说服我。 我想知道的是,我可以在这里注入任意代码吗? 乍一看, user_input.replace("'", "'")会阻止我跳出string。 不过,我可以通过新行,如\nalert(123)\n ,但结果总是一个语法错误,例如 ' alert(123) ' 实际上是否有一个用于代码注入的向量,除了导致语法错误?

HTTP GET请求正在我的网站作出未知的.php文件。 为什么以及如何防止这一点

我有一个应用程序部署在数字海洋液滴。 大概在部署一天后,我的服务器崩溃了,最终的日志如下所示: GET /vehicle/tank/all/1 304 2.965 ms – – GET /vehicle/tank/all/1 304 2.582 ms – – GET /vehicle/tank/all/1 304 1.735 ms – – GET /vehicle/tank/all/1 304 1.566 ms – – GET http://dhg.pisz.pl/httptest.php 404 1.771 ms – 43 GET http://dhg.pisz.pl/httptest.php 404 3.271 ms – 43 GET http://dhg.pisz.pl/httptest.php 404 1.051 ms – 43 GET http://24×7-allrequestsallowed.com/? PHPSESSID=aab45f4f00143PWZJTVBY%40DXJFV%5D 200 […]