Articles of xss

安全的Node.js聊天(避免XSS)

我正在与Node.js和socket.iobuild立一个简单的小聊天 当用户键入他的消息时,它被广播给所有其他用户。 服务器发送消息: io.sockets.emit('fromServerToClient', { "message": message }); 客户端显示它: socket.on('fromServerToClient', function (data) { $('#messages').append(data.message + '<br />'); }); 但是当你发送像<script>alert(1);</script> ,它会在每个客户端浏览器上执行。 这是一个严重的安全缺陷,我想尽可能避免它。 我看到有人逃跑,但是我不认为这是足够的! 我怎么能100%确定我的聊天没有XSS漏洞? 顺便说一下,我总是指定字符集以避免UTF-7攻击。 谢谢你的帮助。

JS库来清理用户的数据?

所以我使用nodejs来写这个网站。 现在这个页面上有一个小聊天论坛,向各种js,html等注入。 只是想知道如果你们知道一个JS脚本/库,可以消毒我从用户获得的数据?

反向代理是否使node.js安全?

我想将node.js放在云中,以获取具有敏感公司信息的应用程序。 恐怕node.js不像一些较旧的服务器那么安全,因为它并没有被大量使用。 我看到有人build议使用反向代理来使它更安全。 我了解它是如何安全的,因为它不直接暴露于世界。 但是,xss和其他攻击仍然是可能的。 仅从安全的angular度来看,任何人都认为node.js与旧的服务器是一致的? 关于“如何说服老板+公司安全团队”的提示?

下面的JavaScript安全的从任意代码执行?

我正在贡献一个JavaScript框架,具有相当于下面的代码: eval("'" + user_input.replace(/'/g, "'") + "'"); 我知道这很糟糕 – 不需要说服我。 我想知道的是,我可以在这里注入任意代码吗? 乍一看, user_input.replace("'", "'")会阻止我跳出string。 不过,我可以通过新行,如\nalert(123)\n ,但结果总是一个语法错误,例如 ' alert(123) ' 实际上是否有一个用于代码注入的向量,除了导致语法错误?

HTTP GET请求正在我的网站作出未知的.php文件。 为什么以及如何防止这一点

我有一个应用程序部署在数字海洋液滴。 大概在部署一天后,我的服务器崩溃了,最终的日志如下所示: GET /vehicle/tank/all/1 304 2.965 ms – – GET /vehicle/tank/all/1 304 2.582 ms – – GET /vehicle/tank/all/1 304 1.735 ms – – GET /vehicle/tank/all/1 304 1.566 ms – – GET http://dhg.pisz.pl/httptest.php 404 1.771 ms – 43 GET http://dhg.pisz.pl/httptest.php 404 3.271 ms – 43 GET http://dhg.pisz.pl/httptest.php 404 1.051 ms – 43 GET http://24×7-allrequestsallowed.com/? PHPSESSID=aab45f4f00143PWZJTVBY%40DXJFV%5D 200 […]

任何人都知道在JavaScript中的固体库/函数来清理用户input

你们是否知道Javascript中一个坚实的库/函数来清除用户input。 主要是为了防止XSS攻击和sorting。 如果上述图书馆可以select允许某些标签,这将是一个加号。 编辑:我在后端使用node.js。 这就是为什么我需要一个JavaScript库的那种事情。 人们在这里推荐一部分Google Caja: 在Node.js / server端javascript中防止XSS 但我只是希望得到更多的select。