Tag: xss

下面的JavaScript安全的从任意代码执行？

我正在贡献一个JavaScript框架，具有相当于下面的代码： eval("'" + user_input.replace(/'/g, "'") + "'"); 我知道这很糟糕 – 不需要说服我。 我想知道的是，我可以在这里注入任意代码吗？ 乍一看， user_input.replace("'", "'")会阻止我跳出string。 不过，我可以通过新行，如\nalert(123)\n ，但结果总是一个语法错误，例如 ' alert(123) ' 实际上是否有一个用于代码注入的向量，除了导致语法错误？

HTTP GET请求正在我的网站作出未知的.php文件。 为什么以及如何防止这一点

我有一个应用程序部署在数字海洋液滴。 大概在部署一天后，我的服务器崩溃了，最终的日志如下所示： GET /vehicle/tank/all/1 304 2.965 ms – – GET /vehicle/tank/all/1 304 2.582 ms – – GET /vehicle/tank/all/1 304 1.735 ms – – GET /vehicle/tank/all/1 304 1.566 ms – – GET http://dhg.pisz.pl/httptest.php 404 1.771 ms – 43 GET http://dhg.pisz.pl/httptest.php 404 3.271 ms – 43 GET http://dhg.pisz.pl/httptest.php 404 1.051 ms – 43 GET http://24×7-allrequestsallowed.com/? PHPSESSID=aab45f4f00143PWZJTVBY%40DXJFV%5D 200 […]

任何人都知道在JavaScript中的固体库/函数来清理用户input

你们是否知道Javascript中一个坚实的库/函数来清除用户input。 主要是为了防止XSS攻击和sorting。 如果上述图书馆可以select允许某些标签，这将是一个加号。 编辑：我在后端使用node.js。 这就是为什么我需要一个JavaScript库的那种事情。 人们在这里推荐一部分Google Caja： 在Node.js / server端javascript中防止XSS 但我只是希望得到更多的select。