Domande con tag 'same-origin-policy'

domande con tag
3
risposte

E-mail leggere ricevuta tramite XSS

Recentemente sono incappato in un modo davvero stupido / non sicuro ma interessante per ottenere una conferma di lettura di una e-mail. Non sono sicuro al 100% se il metodo in uso funziona, ed è per questo che lo sto chiedendo qui. G-mail non...
posta 10.10.2012 - 15:28
1
risposta

Perché una "tela contaminata" è un rischio?

Comprendo la preoccupazione di una tela contaminata: l'idea che i bit di un'immagine di un altro sito possano essere inviati a un server malevolo. Ma puoi spiegare i dettagli di come funziona esattamente? Supponiamo che l'utente visiti nast...
posta 09.02.2018 - 03:05
2
risposte

Sottodomini specifici dell'utente: sicurezza JavaScript

Se fornisco un sito web pubblico per gli utenti sul mio sito web al proprio sottodominio (ad esempio bob.myapp.com ) sotto il proprio controllo, posso consentire loro di eseguire JavaScript arbitrario senza mettere a rischio il mio server pr...
posta 25.10.2012 - 20:17
1
risposta

Sicurezza su window.opener e iframe

Ho 3 domini: domainA domainB domainC Se imposto target="_blank" su domainA con un link a domainC , domainC può accedere a un gruppo di proprietà di domainA . Ecco perché uso target="_blank" rel="noopener noreferr...
posta 03.12.2016 - 13:20
2
risposte

Best practice per l'integrazione di javascript esterni?

Sto cercando alcuni consigli standard su come integrare JavaScript esterno in un sito web. Ad esempio, in mywebsite.com : <script src='//externalsite.com/js/script.js'></script> Il fatto è che se externalsite.com viene...
posta 28.05.2013 - 17:56
2
risposte

Quali attacchi vengono mitigati richiedendo CORS per la verifica dell'integrità della risorsa?

Qualcuno può elaborare gli attacchi a cui si fa riferimento in questo paragrafo dal W3C"> Specifiche dell'integrità delle risorse secondarie ? In order to mitigate an attacker’s ability to read data cross-origin by brute-forcing values via...
posta 23.01.2017 - 05:31
1
risposta

Verifica dell'hash figlio iFrame del contenuto iFrame principale

Considera il seguente scenario: Alice desidera visitare il sito Web di Victor mentre era al lavoro presso Initech. Il sito Web di Victor è ospitato su un sistema di nomi di dominio alternativo a cui il DNS di Initech non fa il peer. Eve (che...
posta 05.09.2013 - 01:17
1
risposta

Perché JS di CSRF non può leggere il token tramite GETting html

1) L'utente è registrato in bank.com in una scheda, dove tutto è protetto dai token CSRF. Quindi apre evil.com in un'altra scheda. 2) Javascript in evil.com potrebbe provare a fare una richiesta POST a bank.com/send_money solo se sapesse csrf...
posta 27.06.2014 - 12:54
1
risposta

Alternativa ai token anti-CSRF per la richiesta AJAX (Same Origin Policy)

Sto lavorando su un sito Web PHP interamente basato su AJAX (tramite jQuery). È una singola pagina in cui tutte le richieste sono fatte da AJAX. In relazione alla protezione contro CSRF ho riscontrato il problema di dover includere manualment...
posta 12.12.2015 - 00:13
1
risposta

Politica della stessa origine per il file: URL nel browser Android?

Quando carichi un URL file:// in una WebView Android o nel browser Android, che cosa considera l'origine? Cosa può accedere al Javascript su quella pagina? Può accedere ad altri file nella stessa directory? Altri file altrove sul dispositiv...
posta 07.12.2012 - 19:49