Domande con tag 'same-origin-policy'

domande con tag
3
risposte

Perché lo stesso blocco dei criteri di origine non ottiene richieste contenenti argomenti?

Da quello che ho capito, lo stesso criterio di origine impedisce agli script di una pagina web di comunicare con i server al di fuori del dominio attuale (usando post, xmlhttprequest, ecc.). Supponevo che anche le richieste di ottenere (con argo...
posta 18.06.2012 - 22:42
1
risposta

Perché una finestra secondaria è autorizzata a modificare la posizione del suo genitore?

Forse una domanda stupida. Quando si apre una nuova scheda tramite target="_blank" , la pagina caricata in quella scheda è autorizzata a impostare una nuova posizione nella scheda genitore utilizzando: window.opener.location.replace('http:...
posta 20.01.2015 - 15:24
3
risposte

Stessa politica di origine - Risposta XHR

So che lo stesso criterio di origine (SOP) impedisce a una pagina / script da un'origine di leggere la risposta da un'altra origine, ma non impedisce alla pagina / allo script di creare una XMLHttpRequest (XHR) richiesta a un'origine diversa D...
posta 24.04.2015 - 02:17
1
risposta

Restituisce Access-Control-Allow-Origin: * indebolisce la sicurezza delle risposte JSON GET?

La raccomandazione CORS W3C afferma: Certain types of resources should not attempt to specify particular authorized origins, but instead either deny or allow all origins. ... 3. A GET response whose entity body happens to pa...
posta 16.10.2013 - 12:23
3
risposte

In che modo CSRF è correlato alla stessa politica di origine

Sto cercando di capire quali ruoli svolgono CSRF e la stessa origine nel grande schema delle cose. Con CSRF, sono in grado di fare praticamente qualsiasi cosa su altri siti Web sui client effettuando delle richieste. SOP (Origin Origin Policy) c...
posta 10.04.2017 - 07:14
2
risposte

In che modo la vulnerabilità originale di Facebook di Access-Control-Allow-Origin: null consente l'accesso tra origini?

Recentemente, una vulnerabilità nell'app di messaggistica di Facebook che consentiva agli attacchi di accedere a messaggi privati degli utenti tramite AJAX di origine incrociata è stata corretta e divulgata. Simple Bug allows Hackers to Rea...
posta 14.12.2016 - 21:33
1
risposta

Sono necessarie politiche restrittive per le stesse origini?

La domanda è rivolta alla comunità della sicurezza per risolvere alcuni fraintendimenti qui . Il punto cruciale: La società (Wire) ha un cliente (official-client.com) e un codice server (ad esempio official-server.com). CORS attualment...
posta 16.02.2018 - 17:56
1
risposta

Accesso cross-site lato client in ambiente SSL - quando è ancora possibile farlo?

Sto cercando di immaginare un ambiente sicuro in modalità sandbox per un'applicazione che è grande e inesplorata e potrebbe contenere backdoor. Viverebbe in ambiente chroot / virtuale senza connessioni in uscita abilitate, e tutte le connessioni...
posta 10.08.2012 - 17:18
1
risposta

Le richieste di 'zero-knowledge' sarebbero un'estensione sicura di SOP / CORS?

Per quanto ho capito, esiste lo stesso criterio di origine per impedire richieste autenticate da altre origini. Quindi quando un cattivo crea un sito malvagio che tenta di dirottare l'autenticazione attiva dei miei clienti per manipolare o ru...
posta 15.12.2016 - 15:18
2
risposte

Come utilizzo CORS correttamente con OpenID Connect?

Sembra esserci una serie di domande su diversi blog, Q & A siti e commenti che richiedono varianti della domanda: How do I correctly use CORS with OpenID Connect? Il contesto di queste domande viene solitamente applicato a uno di qu...
posta 09.02.2017 - 16:07