跟进我的上一个问题 ......
如果攻击者有权访问以下内容,则可以利用此代码encodedText:
return $('<div/>').html(encodedText).text();
例如$("<div/>").html('<img src="X" onerror="alert(\'hi\');" />').text()显示警报.
此答案建议使用a textarea来避免XSS漏洞:
return $('<textarea/>').html(encodedText).text();
这能够安全地处理以前的漏洞利用.
但是,此答案表明使用时仍存在XSS漏洞textarea:
我建议使用更安全,更优化的功能
不要使用jQuery.html().text()解码html实体,因为它不安全,因为用户输入永远不能访问DOM
我的问题是:$('<textarea/>').html(encodedText);假设攻击者可以访问,是否有任何浏览器可以利用来运行XSS encodedText?
背景
我正在运行chef-client --local-mode菜谱路径设置到./berks-cookbooks这些烹饪书,在运行厨师之前已经由berkshelf下载了.(厨师sdk 4.0.0,berkshelf 3.2.3)
在运行我的脚本之前,厨师必须运行"Synchronizing Cookbooks",此步骤需要2到3分钟.据我所知,厨师正在下载相关的烹饪书,并检查他们的哈希值.
我的问题
如果我正在使用berkshelf并且已经在本地保存了烹饪书,为什么厨师花这么长时间下载Cookbook?
有人知道加速它的方法吗?
在阅读了这个问题之后,用户警告说这种编码html的方法是不安全的
return $('<div/>').html(encodedText).text();
"不要使用jQuery.html().text()来解码html实体,因为它不安全,因为用户输入永远不能访问DOM"
"我建议使用更安全,更优化的功能"
此方法的目的是获取编码输入,即Fish & chips产生未编码的输出,即Fish & Chips
据我了解,他们声称,对于某些价值encodedText,可以执行javascript.我试图重现此设置encodedText来<script>alert(1)</script>和其他一些简单的攻击,是无法找到的XSS漏洞的任何迹象.
我的问题是:使用时,任何浏览器中是否存在任何可证明的xss漏洞 $('<div/>').html(encodedText).text()
我正面临这个问题
vagrant plugin install vagrant-berkshelf --plugin-version ">= 2.0.1"
我收到这个错误
安装dep_selector(1.0.3)时发生错误,Bundler无法继续.
gem install dep_selector -v '1.0.3'在捆绑之前确保成功.
我已经看到提到这个问题,包括Ubuntu的解决方法,但是我找不到mac OSX的解决方法
https://github.com/berkshelf/vagrant-berkshelf/issues/191 https://github.com/berkshelf/berkshelf/issues/1138
有没有人在OSX上解决这个问题?
我已经通过腻子开始了weblogic的工作:
./startWebLogic.sh
之后,服务器成功启动。
但是当我关闭腻子窗口时,服务器停止工作
关闭腻子窗口后如何保持weblogic的运行?
谢谢!
javascript ×2
jquery ×2
security ×2
xss ×2
berkshelf ×1
chef-infra ×1
chef-recipe ×1
chef-solo ×1
macos ×1
performance ×1
putty ×1
startup ×1
vagrant ×1
weblogic ×1