Necesito desinfectar las entradas de usuario de html maliciosos y enviadas por CKEditor . Actualmente utilizo owasp-java-html-sanitizer . para este propósito, pero elimina iframes incrustados también. Pero tengo casos de uso genuinos como incrustar un video de YouTube o una presentación de diapositivas en publicaciones. ¿Cómo podría permitir tales iframes incrustados de forma segura? Yo […]
Digamos que tengo algún código que crea una página HTML con una llamada de servicio JSON. ¿Cómo puedo evitar que otros copien y peguen el código fuente, llamen al servicio y obtengan el conjunto de resultados para el primer usuario? Si obtengo el dominio como un parámetro para el servicio o si obtengo otro nombre […]
Apuesto a que estoy usando algo incorrecto aquí … Mi aplicación MVC3 utiliza Pagedown para proporcionar un editor de texto de JavaScript, un convertidor de rebajas y una vista previa en vivo. Utilizo su objeto “santizer” para quitar el código potencialmente peligroso tal como se sugiere en la instrucción: puede verlo en funcionamiento en la […]
Tengo un widget que creé y lo estoy incorporando en otros sitios web usando un iFrame. Lo que quiero hacer es asegurarme de que nadie pueda ver la fuente y copiar el código de iFrame y ponerlo en su propio sitio web. Puedo almacenar la URL que debe permitirse en la base de datos. Lo […]
Estoy tratando de determinar si cualquier iframe tiene dominio cruzado o no. De acuerdo con la respuesta aceptada en esta pregunta: detectar cuando el iframe tiene dominio cruzado, y luego descartarlo , indica que el código acceda al contentDocument del iframe en un bloque try / catch . Intenté esto para un iframe entre dominios […]
Tengo una aplicación de wenb basada en Spring y estoy implementando Spring Security 3.1. Lo que necesito es poder redirigir automáticamente a la página de inicio de sesión, cuando se produzca el tiempo de espera de sesión configurado. Estoy implementando páginas web que contienen mucha funcionalidad jQuery, así que necesito poder redirigir automáticamente. Lo que […]
Para la entrada HTML, quiero neutralizar todos los elementos HTML que tengan js en línea (onclick = “..”, onmouseout = “..”, etc.). Estoy pensando, ¿no es suficiente codificar los siguientes caracteres? =, (,) Entonces onclick = “location.href = ‘ggg.com’” se convertirá en clic% 3D “location.href% 3D’ggg.com” ¿Que me estoy perdiendo aqui? Editar: Necesito aceptar HTML […]
Aquí está el resumen de mi código: Mi sitio web simplemente hace un bucle con el contenido de todas las filas de una determinada tabla; Sin embargo, a veces, tendré que obtener una identificación individual de una determinada fila. La entrada oculta funciona, pero sé que será una gran carga para la seguridad. Después de […]
Me preguntaba si se trata de algún tipo de técnica, por lo tanto, mantenga los datos confidenciales fuera de una aplicación web. Sé que nunca debe almacenar datos confidenciales en el almacenamiento local o las cookies. Al iniciar sesión en un sitio web, un buscador suele preguntar si debería conservar su nombre de usuario y […]
Estoy trabajando en un problema donde quiero restringir a un usuario para que abra una página PHP Este es mi javascript– $(‘input[id=f1email1]’).on(‘blur’, function(){ var k = $(‘input[id=f1email1]’).val(); if (k != “”) $(‘span[id=showEmail]’).load(’emailCheck.php?email=’ + k); }); emailCheck.php puede acceder directamente a emailCheck.php escribiendo en el navegador y esto podría filtrar cierta información. Ni siquiera puedo redirigir […]