Domande con tag 'json'

domande con tag
1
risposta

Token generato a caso contro token Web JSON

Sto cercando di proteggere l'accesso al mio server web. Ho implementato un'autenticazione del token web JSON dove ho generato casualmente una chiave segreta e l'ho associata a quell'utente. La chiave segreta verrà quindi utilizzata per codifi...
posta 06.08.2015 - 20:30
1
risposta

In che modo includere un prefisso magico a una risposta JSON per impedire gli attacchi XSSI?

Mentre lavoravo a un progetto che utilizzava l'API REST per Gerrit Code Review, ho notato che facevano qualcosa che pensavo fosse strano Fonte : To prevent against Cross Site Script Inclusion (XSSI) attacks, the JSON response body starts w...
posta 13.01.2016 - 21:57
1
risposta

Progettazione di single-sign-on con JSONP / CORS?

Mi piace il modo in cui OAuth / OpenID può autenticare / identificare un utente da un altro dominio, ma solo se l'altro dominio lo consente (presumibilmente sulle istruzioni dell'utente). Mi piacerebbe fare qualcosa di simile, ma usando CORS...
posta 31.05.2013 - 16:57
3
risposte

Crittografia simmetrica o asimmetrica per Token Web JSON?

Stiamo pianificando di utilizzare JSON Web Tokens (JWT) per il nostro server di autenticazione e sto valutando l'approccio di crittografia da adottare per il token JWE. Sembra che ci siano due opzioni per la gestione della chiave di crittogra...
posta 26.03.2013 - 16:10
1
risposta

Perché l'attacco JSON Hijacking non funziona nei browser moderni? Come è stato risolto?

Capisco che le vulnerabilità di JSON Hijacking siano state corrette in tutti i browser moderni, ma in che modo esattamente? Ci sono molti articoli che parlano di tecniche per prevenire attacchi di JSON Hijacking (cioè prepending while(1);...
posta 02.04.2017 - 18:23
1
risposta

Questo auto-XSS può essere esteso?

Ho una casella di testo che effettua una chiamata a un'API ogni volta che il testo è cambiato. L'API restituisce JSON ma esegue qualsiasi Javascript all'interno del JSON restituito (testato con Alert ()). Questo valore di casella di testo non è...
posta 23.11.2016 - 17:42
1
risposta

Restituisce Access-Control-Allow-Origin: * indebolisce la sicurezza delle risposte JSON GET?

La raccomandazione CORS W3C afferma: Certain types of resources should not attempt to specify particular authorized origins, but instead either deny or allow all origins. ... 3. A GET response whose entity body happens to pa...
posta 16.10.2013 - 12:23
2
risposte

JavaScript eval () per analizzare JSON dopo aver disinfettato le espressioni regolari - XSS è possibile?

È possibile ignorare la mia regex ed eseguire JavaScript? <script> function json(a){ if (/^\s*$/.test(a) ? 0 : /^[\],:{}\s\u2028\u2029]*$/.test(a.replace(/\["\\/bfnrtu]/g, "@").replace(/"[^"\\n\r\u2028\u2029\x00-\x08\x0a-\x1f]...
posta 06.02.2013 - 07:41
1
risposta

Passando il codice PHP direttamente in JavaScript in HTML5

Voglio passare una stringa PHP direttamente a una variabile JavaScript e mantenere il carico sul server al minimo. Ho il seguente codice JavaScript in un file PHP per fare questo: <!DOCTYPE html> <html> ... <body> <sectio...
posta 16.12.2017 - 23:52
0
risposte

Esiste un buon modo per memorizzare i token OAuth2 per un'applicazione nativa?

Attualmente ho un'applicazione PC nativa che crea e carica una configurazione su un dispositivo Linux incorporato (cioè il client). Questo dispositivo si connette a Google Calendar tramite la loro API OAuth2. La configurazione richiede: Un p...
posta 22.12.2017 - 05:32