Domande con tag 'same-origin-policy'

domande con tag
2
risposte

Impostazione Access-Control-Allow-Origin: * quando gli identificatori di sessione sono iniettati nelle intestazioni HTTP

È considerato sicuro per un'applicazione impostare un'intestazione access-control-allow-origin: * se durante il normale utilizzo dell'applicazione, le credenziali del client vengono iniettate nelle intestazioni dal codice JS? Per esempio:....
posta 11.04.2017 - 10:20
1
risposta

Impedisci la scrittura cross-origin javascript

Supponiamo che un utente malintenzionato riesca a iniettare questo script in una pagina di accesso: const form = document.getElementsByTagName('form')[0]; form.addEventListener('submit', stealCredentials); function stealCredentials() { c...
posta 21.12.2018 - 15:05
1
risposta

Le intestazioni Origin possono essere inviate con get get o l'intero url?

Un'applicazione a cui sto lavorando risponde a un'intestazione Origin con caratteri jolly impostando Access-Control-Allow-Origin su subdomain.app.com se termina con .app.com . Tuttavia, se aggiungo .app.com a una variabile...
posta 06.12.2017 - 02:42
2
risposte

Stessa pentesting della politica di origine?

Come tutti sappiamo che cos'è il SOP? Come è molto popolare. Ma la mia domanda sorge quando, pentesting questa funzionalità. AS SOP fornisce al sito Web le risorse solo dal proprio dominio. Ex. link ha la funzionalità SOP, quindi solo le ri...
posta 05.10.2017 - 12:44
1
risposta

pagine GitHub e stessa origine

Sto lavorando con il team di sicurezza al mio lavoro per ottenere un sito web accreditato prima di poterlo pubblicare ... È una pagina web molto semplice ospitata su pagine Github con solo qualche javascript. Ho raggiunto un ostacolo in ter...
posta 17.08.2017 - 14:14
1
risposta

Nessuna richiesta di preflight viene effettuata durante la richiesta di cross-origine XHR

Ho creato una richiesta di cross-origine XHR da un file html, ospitato su un semplice HTTP Server python. var xhr = new XMLHttpRequest(); xhr.open("GET", "https://www.facebook.com/favicon.ico", true); xhr.withCredentials = true; xhr.onload = f...
posta 28.02.2017 - 09:28
1
risposta

Al posto di JSONP, perché non possiamo ignorare la stessa politica di origine in modo esplicito?

Ho imparato a conoscere la stessa politica sulle origini. Se si desidera accedere al contenuto JSON pubblico, è necessario utilizzare una soluzione alternativa, come CORS, reverse-proxy e JSONP. Se in ECMAscript c'era un modo per uno script d...
posta 06.08.2016 - 11:01
1
risposta

WebCrypto, SOP e Yubikeys

Ho seguito alcune discussioni sulla mailing list di WebApp Security riguardante le politiche WebCrypto e SOP (oltre 100 messaggi). Una delle cose che è scaturita dalle chiavi contenute in WebCrypto non erano enumerabili perché potevano essere...
posta 27.09.2015 - 12:16
1
risposta

In che modo la selezione DOCTYPE influisce sulla sicurezza della mia app AJAX?

Sto pensando di utilizzare tecniche moderne per proteggere il mio codice Javascript e sto studiando come la selezione di elementi DOCTYPE possa impatto che. Nello specifico, la domanda collegata ha utilizzato gli IFrame che non sono consentiti...
posta 28.03.2013 - 17:50
3
risposte

In che modo CSRF è correlato alla stessa politica di origine

Sto cercando di capire quali ruoli svolgono CSRF e la stessa origine nel grande schema delle cose. Con CSRF, sono in grado di fare praticamente qualsiasi cosa su altri siti Web sui client effettuando delle richieste. SOP (Origin Origin Policy) c...
posta 10.04.2017 - 07:14