Domande con tag 'javascript'

domande con tag
3
risposte

Come convincere il compagno di squadra a utilizzare una whitelist?

Contesto Nel nostro team di sviluppo, dobbiamo costruire un componente. Questo componente è uno lato client completo scritto in Javascript. Un'applicazione web client che desideri incorporare questo componente lo chiamerà come di seguito:...
posta 03.12.2015 - 16:06
1
risposta

Sicurezza di Javascript nei browser mobili

JavaScript su un browser mobile è più sicuro di Javascript su altri tipi di sistemi? Ad esempio, se ho un sito che include un codice di crittografia sul lato client (Javascript), con l'intenzione che venga eseguito solo all'interno di un browser...
posta 30.04.2013 - 15:16
1
risposta

È sicuro assegnare un token Oauth al lato client javascript in modo che possa direttamente effettuare richieste a un server?

Al momento ho un'applicazione backbone.js semplice fornita dal mio dominio (esempio.com), a cui viene fornito un token Oauth. Nello specifico, passo il token Oauth attraverso il mio modello di pagina negli argomenti del costruttore della mia cla...
posta 22.11.2013 - 22:48
1
risposta

Il tuo nome utente Windows o Linux può essere esposto ai siti web?

Ad esempio: L'accesso a un sito Web con javascript abilitato può esporre informazioni quali browser, caratteri e ora locale. Può, in teoria, esporre il tuo nome utente Windows o Linux? Il salvataggio di un file o il collegamento di un f...
posta 31.05.2013 - 09:30
1
risposta

Il precaricamento / il precaricamento nei browser Web comporta un rischio per la sicurezza?

Oggi ho cercato su Google il nome di un dominio che, secondo quanto riferito, stava pubblicando malware. I miei risultati di ricerca sono arrivati (con il dominio compromesso in cima alla lista) e in pochi secondi il mio AV ha dato un avviso dic...
posta 28.01.2016 - 04:20
2
risposte

Quali sono i rischi per la sicurezza di abilitare cors su localhost?

Ho un'app mobile basata su Cordova che sta raggiungendo alcune API tramite un server locale su dispositivo mobile. L'app mobile imposta l'origine come Localhost. Qui Cors entra e io non posso fare la richiesta. Ora queste API possono essere util...
posta 06.04.2017 - 20:51
1
risposta

XSS JavaScript Stringa a doppia citazione con codice HTML escape Possibile?

È possibile iniettare XSS in una variabile JavaScript se un sito Web inserisce HTML codificato, l'input dell'utente in una stringa doppia citata? var userString = "perfectly "safe" input from user?";     
posta 26.06.2013 - 23:38
3
risposte

HTTP Content-Security-Policy Nonce e caching

Qualcuno qui è in grado di chiarire in che modo il caching influisce aggiungendo un nonce=value a tutto il javascript in linea? Se il nonce deve essere unico e imprevedibile, è necessario disabilitare tutte le cache sul lato server (cioè...
posta 03.12.2016 - 00:22
1
risposta

Come faccio a sandbox utente JS senza utilizzare una VM, un transpiler o un'API basata sulla whitelist?

Ho svolto le mie ricerche e ci sono alcuni modi efficaci per JS di sandbox, ovvero: Utilizzare un JS VM che esegue il JS utilizzando un modulo sandbox di js, come VM.js Utilizza un transpiler come Google Caja, che aggiunge ulteriori cont...
posta 01.09.2016 - 07:28
1
risposta

Prevenzione di XSS in SVG

Attualmente valutando un'applicazione, ho scoperto che è possibile inviare un riempimento SVG contenente Javascript (l'app è vulnerabile anche a XXE). Mi chiedevo se esistesse un metodo per prevenire tali vulnerabilità e proteggere il modulo di...
posta 16.01.2017 - 11:40