Domande con tag 'same-origin-policy'

2
risposte

Perché i browser applicano la stessa politica di sicurezza all'origine sugli iframe?

Ho fatto un piccolo test su Chrome (V37) oggi. Ho creato una piccola pagina e l'ho caricata sul browser: <!DOCTYPE html> <html> <head> <title>Untitled Document</title> </head> <body> <p>N...
posta 22.09.2014 - 06:58
2
risposte

Perché l'intestazione Access-Control-Allow-Origin è necessaria?

Comprendo lo scopo del Access-Control-Allow-Credentials intestazione , ma non riesce a vedere quale problema risolve l'intestazione Access-Control-Allow-Origin . Più precisamente, è facile vedere come, se le richieste AJAX tra domin...
posta 10.10.2013 - 19:11
3
risposte

Perché i browser non bloccano i POST tra siti per impostazione predefinita?

La politica della stessa origine (SOP) fa sì che i browser blocchino lo scripting da un'origine a un altro, a meno che non venga esplicitamente detto di non farlo. Ma i POST cross-site sono ancora permessi, creando il vettore per gli attacchi CS...
posta 18.04.2018 - 13:39
2
risposte

Utilizzo degli iframe nel codice non sicuro della sandbox

Sto cercando di creare una piattaforma estensibile, in cui il mio sito fornirà un modello e alcune viste (sia lato client, nel browser) che siti di terze parti potrebbero aggiungere anche le proprie visualizzazioni. L'obiettivo qui è che solo il...
posta 19.05.2012 - 02:57
3
risposte

Qual è il punto della regola dello stesso dominio per xmlhttprequest quando i tag di script / JSONP possono attraversare i domini?

Ho capito che non voglio una pagina caricata da stackoverflow.com per poter richiedere gmail.com per mio conto e leggere la mia email - ma questo sembra essere semplicemente un problema di cookie. Poiché JSONP ignora interamente la stessa ori...
posta 23.03.2012 - 02:12
2
risposte

Come è a rischio la mancanza del flag "SameSite"?

Al giorno d'oggi i cookie possono avere flag HTTPOnly, Secure e SameSite. Gli scopi delle flag HTTPOnly e Secure sono abbastanza chiari. Ma cosa impedisce esattamente lo scripting di SameSite e in che modo? Inoltre, come si presenterebbe uno...
posta 16.03.2017 - 21:51
1
risposta

In che modo le richieste Ajax sono vulnerabili agli attacchi CSRF se viene applicata la politica Stesso origine?

Quello che so su CSRF è che un sito Web malintenzionato induce un utente normale a inviare una richiesta a un sito Web attendibile utilizzando un modulo. Capisco che sia possibile perché possiamo pubblicare moduli su domini diversi. Tuttavia,...
posta 26.05.2014 - 16:46
1
risposta

protezione del percorso dei cookie all'interno dello stesso dominio

La risposta a questa domanda su come i cookie sono potenzialmente vulnerabili tra sottodomini ha suscitato la mia curiosità. Per quanto ne so, se un cookie è impostato su un sotto-percorso dello stesso dominio ( www.example.com/dogs ),...
posta 05.03.2012 - 19:56
1
risposta

Come posso incorporare iframe in modo sicuro senza limitare la sua funzionalità?

Vorrei incorporare un iframe da un sito non affidabile in un'applicazione web. Iframe: dovrebbe essere in grado di eseguire i plugin Javascript e del browser (Flash, ecc.) non dovrebbe essere in grado di accedere alla mia applicazione web...
posta 21.12.2012 - 14:47
3
risposte

I browser consentono alle pagine caricate su una scheda di accedere / intercettare / iniettare dati in altre schede?

Sono rimasto sorpreso dal questo video Reuters che era possibile caricare una pagina su una scheda per accedere e / o iniettare dati su un'altra pagina caricata su una scheda diversa. TL; DW (troppo pigro, non guardato) L'intervistato nel...
posta 06.07.2012 - 16:19