草庐IT

XSS注入

全部标签

javascript - 将 css 注入(inject) Vue 组件?

见下文my-component.vue。此组件需要可主题化。它需要获取外部css表,因为我需要允许其他开发人员自定义其内部外观。除了acceptajavascriptobject还有其他方法吗??.A{background-color:green;}.B{background-color:red;}.C{background-color:yellow} 最佳答案 在你的组件中:exportdefault{props:{boxStyle:{type:String,default:'box-default'}}}.box-default
javascriptinjectsectiongtltcssvue.js

javascript - AngularJS — 将范围(不带 $)注入(inject) Controller

在MaterialDesignmdDialogdocumentation,我注意到他们已经将范围(没有前缀美元符号)传递给底部附近的DialogController。(function(angular,undefined){"usestrict";angular.module('demoApp',['ngMaterial']).controller('AppCtrl',AppController);functionAppController($scope,$mdDialog){varalert;$scope.showAlert=showAlert;$scope.showDialog=s
javascriptControllercodescope39angularjsangularjs-scope

javascript - 默认情况下,Vue 是否为 XSS 提供安全性或防止 XSS?

我在想办法保护自己,Angular视觉react对抗XSS攻击。当我访问Angular官方文档时,https://angular.io/guide/security,它说:TosystematicallyblockXSSbugs,Angulartreatsallvaluesasuntrustedbydefault.WhenavalueisinsertedintotheDOMfromatemplate,viaproperty,attribute,style,classbinding,orinterpolation,Angularsanitizesandescapesuntrustedva
javascriptXSSblockquotehttpssectionangularreactjsvue.js

注入(inject)函数中的 Javascript 作用域

(function(){varprivateSomething="Boom!";varfn=function(){}fn.addFunc=function(obj){alert('Yeahicandothis:'+privateSomething);for(variinobj)fn[i]=obj[i];}window.fn=fn;})();fn.addFunc({whereAmI:function(){alert('NopeI\'llgetanerrorhere:'+privateSomething);}});fn.whereAmI();为什么whereAmI()不能访问private
JavascriptinjectsectionprivateSomethingwhereAmIscope

javascript - DOMParser 注入(inject) DOM 但注入(inject)后不应用 css 样式表?

我有一个小测试用例:http://jsfiddle.net/9xwUx/1/代码归结为以下内容(给定一个id为“target”的节点):varstring='thisshouldbepink,butisnot';varparser=newDOMParser();vardomNode=parser.parseFromString(string,"text/xml");document.getElementById("target").appendChild(domNode.firstChild);如果您运行测试用例,然后通过firebug/chrome网络检查器检查目标节点并选择jsfi
injectjavascriptsectioncodeparserdomdomparser

javascript - 软件故障注入(inject)的真正用途是什么?

我对软件故障注入(inject)的基本理解是这样的:无法运行所有可能的测试来测试软件。因此,人们求助于对代码进行修改并分析由此产生的错误程度。但这有什么用呢?比如说我们有:functionfoo(a,b){returna/b;}我们把它改成了functionfoo(a,b){returnMath.floor(a/b);}那又怎样呢?这到底有什么用?编辑@狮子座,假设我写了一个软件来查找斐波那契数列。我写的测试看起来像这样:断言(fib(1)==1);assert(fib(0)==0);assert(fib(3)==2);我声称100%的覆盖率,因为所有代码行都在这里执行。我的客户运行这
javascript用途codesection覆盖率debuggingtestingfault

javascript - AngularJS 依赖注入(inject)

我说了两个模块:foo.afoo.b和一个应用模块:angular.module("foo",["foo.a","foo.b"])我在模块foo.b中有一个服务说:angular.module("foo.b",[])angular.module("foo.b").factory("helper",helperFn);我想在foo.a中的一个Controller中使用它。我所做的是简单的依赖注入(inject):angular.module("foo.a",[]);angular.module("foo.a").controller("MyController",["helper",My
javascriptAngularJS34codefoodependency-injection

Javascript/jQuery XSS 潜在读取查询字符串

我的javascript从查询字符串中读取数据,并使用jQuery.val()将该数据放入文本框中。这工作正常,但我想知道这是否可以免受XSS攻击?假设查询字符串看起来像...site.com?q="javascript:alert(document.cookie)这会有效地做到:jQuery.val('"javascript:alert(document.cookie)')根据我在IE8/firefox中的测试,这会设置所见的输入值,但不会进行实际注入(inject)。如果我先在字符串上运行这个函数:functionhtmlEncode(str){returnstr.replace(
JavascriptjQuerycodesectionxsshtml-entities

javascript - 防止 Javascript 和 XSS 攻击

我正在对我的网站进行javascript和xss攻击的xss防护。它是用ASP.NETWebforms编写的。我想测试的主要部分是一个带有文本框(附有tinyMCE)的用户控件。用户可以通过在此文本框中书写来向站点提交故事。我必须将validateRequest设置为false,因为我想获取HMTL(tinyMCE)中的用户故事。我应该如何防止javascript-xss攻击?由于用户的故事是HMTL文本,我不能在他们的故事上使用Server.HtmlEncode。一般来说,从用户那里接收HTML内容、保存然后将其显示给用户的安全方法是什么?如果一个用户在文本框中放入恶意代码并提交,这
javascriptampgtltasp.netxss

javascript - 跨站脚本注入(inject)

我正在测试一个网络应用程序。我想编写一个XSS脚本,它将显示一个警报“Hello”。我写的第一个脚本是:alert("Hello");但没有显示警告"Hello"。我发现有效的XSS脚本是alert(String.fromCharCode(72,101,108,108,111,33))我想知道为什么第一个脚本不起作用。 最佳答案 很可能该站点用HTML实体替换了双引号,或者试图以某种其他方式转义它们,使它们不适用于JavaScript。使用String.fromCharCode(...)时您不必使用任何引号,因此它会起作用。它获取字
javascriptinjectcodesectionstrongxss
45678910