Domande con tag 'html'

domande con tag
1
risposta

Perché l'integrità delle risorse secondarie (SRI) è limitata a determinati file?

Sono piuttosto entusiasta delle funzionalità di integrità delle risorse secondarie (SRI). Ma perché si limita ai file JS e CSS? Ho provato a bloccare un file LESS (variante CSS), di cui il tag di integrità è stato ignorato da Firefox e Chrome....
posta 16.03.2017 - 22:28
1
risposta

Sicuro per il rendering dei dati direttamente su DOM da localStorage? Attacco XSS possibile?

Ho letto che la cronologia locale è suscettibile agli attacchi XSS. Attualmente memorizzo JSON Web Token (JWT) in localstorage e accedo e visualizzo dati sull'utente tramite localstorage: var localstore = // localStorage object // On user...
posta 11.05.2015 - 00:04
5
risposte

Entità HTML per nascondere gli indirizzi e-mail

Sono su WordPress che cerca di impedire agli spambot di afferrare gli indirizzi e-mail eventualmente presenti nel Contenuto. WordPress ha una piccola e bella funzione chiamata semplicemente antispambot() che convertirà l'indirizzo email i...
posta 25.06.2014 - 20:46
2
risposte

Soluzioni alternative per: ricognizione Storia CSS visitata

Diversi anni fa era possibile usare a:visited { background: url('/log.php'); } per capire quale utente del sito web è stato precedentemente. Ma ora è limitato dai browser. C'è un altro modo per sapere quali utenti di siti web sono stati...
posta 31.07.2012 - 02:39
1
risposta

È necessario applicare Intestazione di sicurezza per il trasporto rigorosa (HSTS) a non 200 pagine di risposta (ad esempio 403, 302)

Ho un'applicazione protetta da Cloudflare. L'applicazione risponde con un HSTS su tutte le altre pagine ad eccezione dello stato HTTP 403 Proibito e 302 Spostato temporaneamente. Sembra che Cloudflare ne sia responsabile. Ci sono anche alcune ri...
posta 13.07.2018 - 16:24
5
risposte

Sta convertendo '' in '<' sufficiente per impedire l'esecuzione di JavaScript da HTML arbitrario?

Questa è una specie di domanda bar-scommessa. Un mio conoscente ha affermato che, dato un arbitrario glob di HTML, può essere completamente impedito di eseguire JavaScript se, prima di schiacciarlo in una pagina Web, si sostituiscono tutte le...
posta 26.11.2014 - 03:45
1
risposta

Perché una finestra secondaria è autorizzata a modificare la posizione del suo genitore?

Forse una domanda stupida. Quando si apre una nuova scheda tramite target="_blank" , la pagina caricata in quella scheda è autorizzata a impostare una nuova posizione nella scheda genitore utilizzando: window.opener.location.replace('http:...
posta 20.01.2015 - 15:24
1
risposta

Un utente malintenzionato può forzare un browser a utilizzare la modalità quirks per eseguire il rendering di una pagina?

Durante un pentest, ho trovato una potenziale vulnerabilità su una pagina web, ma può essere sfruttata solo in modalità di quirks . La pagina inizia con <!doctype html> , che attiva la modalità standard quindi, a prima vista, non...
posta 22.02.2018 - 22:56
1
risposta

Il noreferrer è abbastanza per proteggere i collegamenti?

L'uso di noreferrer è sufficiente per i link che utilizzano target="_blank" per evitare tabnabbing inverso Per il contesto, ecco una spiegazione del problema: "Target = _blank - la vulnerabilità più sottovalutata di sempre"...
posta 16.06.2018 - 00:18
5
risposte

Condivisione dei risultati della scansione Nmap in una pagina Web [chiusa]

Esiste uno strumento che consente la condivisione dei risultati della scansione nmap? So che nmap può produrre XML e posso facilmente convertirli in HTML. Vorrei sapere se c'è uno strumento con più funzionalità. Ad esempio, una pagina Web onl...
posta 16.04.2013 - 16:54