标签: whitelist

我的目标是通过为从客户端接收的任何和所有POST数据创建一个严格的允许字符白名单来保护我的网站免受攻击。

当停留在ASCII字符内时，这是小菜一碟。就像是：

if(preg_match('/[^aA-zZ0-9]/', $stringToTest))
{
   // Battle stations!!
}

但是，我需要能够允许任何和所有utf-8字符，尤其是亚洲字符集，例如日语，中文和韩语。但我不想排除任何古怪的字符，例如阿拉伯文或俄文，或其他。一个世界，一个爱！;）

我如何允许人们输入自己的母语字符，同时排除邪恶的脚本中使用的鼻音，例如*，？，尖括号等？

我有这个代码清理用户输入名为'username'的变量:

$username_clean = preg_replace( "/[^a-zA-Z0-9_]/", "", $_POST['username'] );

if (!strlen($username_clean)){

die("username is blank!");

我想对此页面上的每个输入执行相同的过程,但我有大约12个不同的输入,因为它是一个注册表单.是否有更简单的方法来清理和检查每个输入,而不是在每个输入上应用preg_replace()和if语句？

我在iPhone的PhoneGap应用程序中使用了一个js库.我不知道我的js库联系的其他外部站点,所以我需要一种将所有连接列入白名单的方法,仅用于测试.我怎么做？

我的应用程序只是默默地失败,它不会从启动库的地方继续.(当我在浏览器中运行应用程序时,它完美运行)

在我的内容拦截器中,有没有办法阻止某个网站上的广告拦截？例如,如果我想阻止除The Verge之外的所有网站上的广告,有没有办法阻止我提供的阻止规则影响此页面？

我可以让谷歌地图在浏览器中显示没有问题.当我使用phonegap构建打包我的应用程序时,它不起作用.在我的远程调试会话中,它说

https://maps.googleapis.com/maps/api/js?key=My_Key_Goes_Here 
Failed to load resource: the server responded with a status of 404 (Not Found)

在我的文档的负责人:

<script type="text/javascript" src="https://maps.googleapis.com/maps/api/js?key=MyKey"></script>
<script src="js/locations.js" type="text/javascript"></script>

在网络控制台中,我得到:

Request URL:http://maps.googleapis.com/maps/api/js?key=MyKeyHere
Request Method:GET
Status Code:404 Not Found (from cache)
Response Headers
Client-Via:shouldInterceptRequest
Request Headers
Provisional headers are shown
Accept:*/*
User-Agent:Mozilla/5.0 (Linux; Android 5.0.2; SM-T530NU Build/LRX22G; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/46.0.2490.76 Safari/537.36
Query String Parameters
view source
view URL encoded
key: MyKeyDisplayedHere

在我的config.xml文件中,我包含以下行:

<preference name="orientation" value="portrait" />
<preference name="Fullscreen" value="true" />
<access origin="*://*.googleapis.com/*" subdomains="true" …

我有一个EC2实例，在AWS的弹性负载均衡器后面运行一个网站。主要是因为我想将Amazon的新的免费ssl用于https。

我面临的挑战是，我需要在安全组中将我的IP地址列入白名单，以便我是唯一可以看到此网站的人（并且可以根据需要有选择地添加人）。

我已经成功将没有负载均衡器的IP地址列入了白名单。我面临的挑战是在IP地址和ec2实例之间用负载均衡器代理将我的IP地址白名单。

似乎我的ec2实例不会向负载均衡器注册，因为ec2的安全组不允许除我自己的IP地址之外的任何IP地址的传入流量。

我正在寻找一种让负载均衡器能够健康检查我的ec2的方法，但仅允许特定列入白名单的ip实际访问该网站。

我正在尝试将无密码电子邮件登录添加到我的 Firebase 应用程序，所以我做的第一件事就是将我的域列入白名单：

接下来，我尝试创建动态链接：

此时，当我按下“创建”按钮时，出现错误。有人看到我做错了什么吗？

我还尝试了此视频中建议的内容，结果相同。

最后一件事，然后我已经没有想法了：在 Chrome 开发人员控制台中，我看到 Create 失败并显示错误 400，这表明我需要更新列入白名单的 URL。我通过添加以下 URL 来做到这一点：

并且

这个问题一直让我发疯。我已经尝试了一切，我想。让我想知道是否需要在 Firebase 中重新创建我的应用程序。

我正在编写一个django应用程序,用于跟踪允许哪些电子邮件地址将内容发布到用户的帐户.用户可以根据需要将地址列入白名单和黑名单.

任何未指定的地址都可以按消息处理,也可以默认为白名单或黑名单(再次由用户指定).

以下是我写的django模型......你认为这是一个很好的方法吗？或者我应该为每个用户的个人资料模型添加白名单和黑名单字段？

class knownEmail(models.Model):
    # The user who set this address' permission, NOT
    # the user who the address belongs to...
    relatedUser = models.ManyToManyField(User)
    email = models.EmailField()

class whiteList(knownEmail):
    pass

class blackList(knownEmail):
    pass

然后我可以这样做:

def checkPermission(user, emailAddress):
    "Check if 'emailAddress' is allowed to post content to 'user's profile"
    if whiteList.objects.filter(relatedUser=user, email=emailAddress):
        return True
    elif blackList.objects.filter(relatedUser=user, email=emailAddress):
        return False
    else:
        return None

有没有更好的办法？

我试图弄清楚javascript可以编写的所有方法.我正在制作一个可接受标签的白名单,但属性正在让我.

在我丰富的html编辑器中,我允许链接等内容.

<a href="">Hi </a>

现在我使用html敏捷包来摆脱我不支持的属性和html标签.

但是我还不清楚一个人是否可以做这样的事情

<a href="<script>alert('hi')</script>">Bad </a>

所以我不确定我是否必须开始查看我支持的所有属性的内部文本并对其进行html编码？或者如果是什么.

我也不确定如何阻止某个页面的html链接并在加载时启动一些javascript.

我不确定白名单是否可以阻止那个.

我的白标签在我的应用程序控制器中如下工作:

before_filter :protect

def protect
  @ips = ['127.0.0.1', '203.123.10.1'] #And so on ...]
  if not @ips.include? request.remote_ip
     # Check for your subnet stuff here, for example
     # if not request.remote_ip.include?('127.0,0')
     render :text => "You are unauthorized"
     return
  end
end

我想添加一个选项,如果您的IP未列入白名单,您可以输入密码查看该页面.

此应用程序上没有用户模型(我们只使用它来显示办公室的公司指标(一个页面视图),并希望能够在家中/移动设备上访问该站点,而无需不断更新IP)

谢谢你的帮助