-4
我讀到有關AngularJS $ SCE並在其文件說,$ SCE使用 -什麼是不安全的HTML?
有約束力的價值和在文檔中使其 前消毒不安全的HTML
我想知道HTML代碼片段如何損害任何Web應用程序。
任何人都可以解釋一下有關'unsafe HTML'如何工作和傷害web應用程序的幫助嗎?
A
回答
2
我不知道爲什麼所有的倒票。無論如何,我知道的最大的事情是避免XSS(跨站點腳本)的最佳實踐。三個主要的規則是:
數據
- HTML逃跑之前插入不可信數據到HTML元素內容
- 屬性逃生之前插入不可信數據轉換成HTML通用屬性
- 的JavaScript逃逸插入不可信數據轉換爲JavaScript數據值之前
- (實際上3.1)在HTML上下文HTML逃逸JSON值和讀取JSON.parse
我覺得我可以單獨解釋他們,但這裏的文章詳細解釋了一切:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
相關問題
- 1. 是什麼讓不安全的腳本「不安全」?
- 2. 什麼是C/C++中的「安全」和「不安全」代碼?
- 3. 是什麼讓跨域ajax不安全?
- 4. 什麼是「安全變量」?
- 5. 什麼是運輸安全?
- 6. 什麼是春季安全
- 7. 什麼是類型安全?
- 8. 什麼是IP安全?
- 9. 爲什麼肥皂是安全的?爲什麼不使用HTTPS?
- 10. 這爲什麼不安全?
- 11. 爲什麼Generics.Collections.TObjectList.List不安全?
- 12. __caller__爲什麼不安全?
- 13. 什麼是HTML轉義的最低安全級別?
- 14. Drupal和HTML網站的安全漏洞是什麼?
- 15. 什麼html/css屬性是郵件安全的?
- 16. 什麼是安全和不安全的CSS樣式(我們將過濾什麼,我們會允許什麼)?
- 17. 什麼是HTML中的全局屬性
- 18. JSF的安全性問題是什麼?
- 19. 散居的安全問題是什麼?
- 20. Webservice安全性 - 什麼是足夠的?
- 21. 什麼是更安全的$ _POST或$ _SESSION?
- 22. 什麼是RequestAdditionalTime()的安全開銷?
- 23. 爲什麼ConcurrentHashMap.putifAbsent是安全的?
- 24. javascript minification的安全性是什麼
- 25. 什麼是vb.net中的類型安全?
- 26. 什麼是線程安全的ByteArrayOutputStream?
- 27. 什麼是線程安全的對象
- 28. Apache Hive的安全措施是什麼
- 29. .net中的類型安全是什麼?
- 30. 爲什麼是安全的弦
downvote的原因! –
不正確的html可能會打開攻擊。請研究跨站點腳本,查詢注入等 –