Domande con tag 'javascript'

domande con tag
0
risposte

Come proteggere una chiave API dal lato client?

Ho un problema e sono abbastanza sicuro di non essere il primo a riguardo. Spero di avere alcuni ottimi modi, si spera a prova di proiettile, per evitare problemi, quindi eccolo qui. Fornisco un'API che converte HTML in PDF tramite una richie...
posta 07.09.2018 - 12:02
2
risposte

La sicurezza rischia di scaricare automaticamente le immagini esterne dallo script

Sto sviluppando un programma che genera immagini da file HTML pieni di dati di feed RSS esterni. Quando il feed RSS contiene immagini, devo verificarne la risoluzione e il formato (ad esempio, se l'immagine è una GIF animata devo fare uno specif...
posta 24.10.2018 - 10:29
0
risposte

differenze tra res.header (x-auth, JWTtoken) e res.cookies (JWTtoken)?

Ho visto in tutti i blog e gli articoli che ci sono due modi per gestire JWTtokens , metterli all'interno di localStorage che sono stati sottoposti per XSS all'attacco o metterli all'interno di Cookies e impostare httpOnly...
posta 23.08.2018 - 17:11
0
risposte

Codifica i campi modulo HTML prima dell'invio su HTTPS

Un determinato gateway di pagamento che utilizzo consente due metodi di integrazione: Un modulo di pagamento ospitato, che aggiungi al tuo sito web con un iframe. Un endpoint API per inviare i dettagli del pagamento all'utilizzo di HTTPS...
posta 27.08.2018 - 20:13
0
risposte

Puoi sfruttare i cookie se un sito imposta il valore di un cookie tramite document.cookie unsanitized?

Se esisteva un sito che utilizzava un parametro controllato dall'utente e ha fatto quanto segue, potrebbe essere sfruttato per impostare altri cookie o fare qualcosa di dannoso? document.cookie = "UserWhatever=" + userControlledValue + "; path...
posta 07.08.2018 - 13:05
0
risposte

Questa funzione può essere considerata attendibile?

Supponiamo di avere una funzione che chiama eval (); così: <html> <head> <script> var obj = function(){ var bar = null; this.Setter = function(){ bar = 1 }; this.Getter = function(){ return bar;...
posta 08.08.2018 - 16:59
1
risposta

Perché alcuni cookie / modifiche dei dati (ad esempio tramite Burp) sono persistenti e altri no?

Non sono uno sviluppatore, quindi per favore perdona la mia ignoranza. Qualcuno può spiegare perché alcuni cookie possono essere manipolati e inviati tramite il proxy Burpsuite e altri no? C'è qualcosa in JS (o in qualsiasi altra lingua) che con...
posta 18.05.2018 - 16:51
0
risposte

È intrinsecamente insicuro recuperare il contenuto HTML e JS dal server e collegarlo a un nodo HTML esistente (durante l'esecuzione di tutti gli script)?

Due modi per sviluppare un'app Web: O il modo "classico", ricaricare completamente la pagina con ogni richiesta o il modo "API", cioè fare in modo che il server invii solo dati JSON e faccia in modo che il client lo prelevi da AJAX e ricostruire...
posta 18.05.2018 - 16:36
0
risposte

In che modo Web Crypto API e IndexedDB proteggono i dati archiviati sul lato client dalla manipolazione dell'utente?

Immagina le app web che dovrebbero funzionare con o senza poche interazioni con il server web, ad esempio: un gioco browser in cui il livello e il progresso del giocatore devono essere salvati localmente. un gioco, un'app progressiva o un'...
posta 01.09.2018 - 11:34
0
risposte

Non dovrei seguire i consigli XSS basati su OWASP DOM, non importa dove viene iniettato il carico utile?

Ho sentito / letto in vari contesti che l'XSS basato su DOM è causato da input lato client non attendibili e gli sviluppatori devono seguire le istruzioni su OWASP " Foglio trucchi XSS basato su DOM " per mitigarlo. La mia domanda è: non dovr...
posta 11.05.2018 - 22:34