Articles of xss

注入脚本到玉文件

我是新的node.js和玉视图引擎希望有人可以帮助我这个。 所以我试图模拟一个XSS攻击,我的任务是构build一个简单的表单,在这个表单中有人可以提交一个评论,然后这个评论将出现在表单下面的同一个页面上。 所以我的玉文件看起来像这样: ul each name, comment in cmt li= name + ': ' + comment 其中cmt是我的评论对象数组。 问题是,当我尝试注入一个简单的警报脚本,它显示为纯文本。 有没有办法做我想做的事情? 或者我应该只使用普通的HTML文件,而不是使用玉?

如何在nodejs中检查数据againts xss?

我使用nodejs作为后端,并将数据存储在MongoDB中。 我感兴趣的是如何在保存到数据库之前检查包含数据的数据。 我需要检查像纯string: "some xss test" 和string的对象: { "name": "xss name", "age": 25 } 我应该使用什么库来完成我的任务?

发送到CouchDB时,Json格式不正确

在使用node.js作为代理来防止xss问题时,我有一个向前发送json的问题。 logging收到的数据时,我找不到任何问题。

在我的nodejs服务器防止xhr攻击

我正在开发一个nodejs服务器,它将与客户端移动应用程序进行交互。我在服务器上遇到了一些名为XSS和XHR的攻击。我遇到了一个名为node-validator的模块,这对于处理和validationinput非常有用。我需要一个想法是否XSS和XHR攻击有相同的效果,如果该模块是有用的两个。任何想法,这将是非常有益的。

在Javascript中转义错误信息

我在我的程序中有这个代码: res.send('<html><script>window.opener.alert("' + message + '");window.close();</script></html>'); 现在… message是我不能真正预测的东西,虽然它确实从一个已build立的API中回来,它应该是可以的。 但是,“应该”还不够好。 我意识到我必须逃脱任何" (或者它会打破string),但是… 我需要逃避什么吗? 是否有准备好的function呢?

将ejs的variables传递给javascript(服务器到客户端),同时避免XSS问题

这似乎是使用ejs将variables传递给JavaScript的可接受的方式是这样的: <script> var foo = <%- JSON.stringify(foo) %>; </script> 但是我遇到了使用这种方法的XSS问题,并想知道是否有一个更好/更安全的方法。 这个例子显示了这个漏洞。 这从JSON.stringify("</script><script>alert('test')</script><script>")返回"</script><script>alert('test')</script><script>"和<%- %>运算符不会转义结果。 它也适用于对象: 这里的例子 <script> var test = { "text": "</script><script>alert('test')</script><script>" } </script> 有没有更安全的方法来处理这个问题?

在ejs <2.5.5中检测到已知的中等严重程度的安全漏洞

我在GitHub上获得了一些项目的警报: 我们发现您所贡献的存储库使用的某个依赖项存在潜在的安全漏洞。 在package.json中定义的ejs <2.5.5中检测到已知的中等严重性安全漏洞。 package.json更新build议:ejs〜> 2.5.5。 我可以通过在package.jsonbuild议更新来摆脱警告,并且npm update似乎没有问题。 但我有点不情愿开始搞生产服务器。 该漏洞的https://nvd.nist.gov/vuln/detail/CVE-2017-1000188创build于11.16.2017。 在惊动的项目中, ejs被express使用,而express只和sequelize一起使用。 有没有人了解这个漏洞? 在ejs被静态和内部使用的情况下,XSS将如何可能? 在ejs – > express – > sequelize可能容易受到XSS攻击的情况下,是否有真正的用例?

安全的Node.js聊天(避免XSS)

我正在与Node.js和socket.iobuild立一个简单的小聊天 当用户键入他的消息时,它被广播给所有其他用户。 服务器发送消息: io.sockets.emit('fromServerToClient', { "message": message }); 客户端显示它: socket.on('fromServerToClient', function (data) { $('#messages').append(data.message + '<br />'); }); 但是当你发送像<script>alert(1);</script> ,它会在每个客户端浏览器上执行。 这是一个严重的安全缺陷,我想尽可能避免它。 我看到有人逃跑,但是我不认为这是足够的! 我怎么能100%确定我的聊天没有XSS漏洞? 顺便说一下,我总是指定字符集以避免UTF-7攻击。 谢谢你的帮助。

JS库来清理用户的数据?

所以我使用nodejs来写这个网站。 现在这个页面上有一个小聊天论坛,向各种js,html等注入。 只是想知道如果你们知道一个JS脚本/库,可以消毒我从用户获得的数据?

反向代理是否使node.js安全?

我想将node.js放在云中,以获取具有敏感公司信息的应用程序。 恐怕node.js不像一些较旧的服务器那么安全,因为它并没有被大量使用。 我看到有人build议使用反向代理来使它更安全。 我了解它是如何安全的,因为它不直接暴露于世界。 但是,xss和其他攻击仍然是可能的。 仅从安全的angular度来看,任何人都认为node.js与旧的服务器是一致的? 关于“如何说服老板+公司安全团队”的提示?