Domande con tag 'same-origin-policy'

domande con tag
4
risposte

su CSRF sul modulo invia [duplicato]

Mi manca sicuramente qualcosa nell'immagine di come gli attacchi e le protezioni CSRF stanno funzionando. La mia comprensione in uno scenario di invio di moduli è che la protezione si basa su un token imprevedibile, in qualche modo si presu...
posta 31.07.2015 - 18:44
3
risposte

Quale scopo ha Access-Control-Allow-Origin?

Ho un malinteso riguardo l'intestazione Access-Control-Allow-Origin di CORS. Il nome dice "allow" da cui capisco che se faccio una richiesta da un "Origin" che non è consentito, la richiesta dovrebbe fallire. Ma posso sempre modificar...
posta 14.04.2016 - 17:07
2
risposte

Difesa contro gli stessi attacchi di origine?

La domanda: Come faccio, in quanto vittima, a proteggere il mio sito dall'essere manipolato a fare qualcosa che non dovrebbe, su un host condiviso? La politica della stessa origine guarda dall'altra parte. La cosa più comoda sarebbe probabilm...
posta 24.03.2013 - 17:19
2
risposte

Rendering sicuro SVG

Come posso rendere in modo sicuro i documenti SVG in un'applicazione di condivisione dei media? Penso che la politica della stessa origine potrebbe aiutare un po 'se pubblico i documenti SVG su un dominio separato e li rendo all'interno di un...
posta 08.09.2013 - 21:45
1
risposta

In che modo la stessa politica di origine protegge da PUT / DELETE CSRF?

Ho letto la guida OWASP per la falsificazione di richieste tra siti e afferma che "altro I metodi HTTP ", come PUT e DELETE potrebbero essere teoricamente usati per CSRF. Tuttavia con lo stesso criterio di origine queste richieste non vengo...
posta 05.04.2016 - 20:09
1
risposta

Implicazioni pratiche della vulnerabilità Android SOP del 2014

Per un progetto universitario ho svolto ricerche su tutti i tipi di problemi di sicurezza, specialmente quelli relativi alla privacy, che sono emersi negli ultimi anni su sistemi operativi e applicazioni mobili. Una delle violazioni più infam...
posta 07.06.2015 - 20:06
1
risposta

In quali modi un javascript che effettua una richiesta HEAD su più domini può essere una minaccia?

Stavo leggendo questa risposta alla domanda Perché la stessa politica di origine è così importante? Basically, when you try to make an XMLHttpRequest to a different domain, the browser will do one of two things: If it's a GET or...
posta 26.07.2013 - 12:19
3
risposte

Flash ignora l'intestazione Content-Type, consentendo XSS?

Recentemente ho letto che il plugin Flash ignora l'intestazione Content-Type in determinate circostanze. In particolare, puoi fornire a Flash un URL e il plug-in Flash recupererà volentieri il contenuto di quell'URL e caricherà qualsiasi co...
posta 25.09.2013 - 06:25
0
risposte

Problemi di sicurezza XSS da domini padre non attendibili

Esistono molte discussioni sulla protezione dei contenuti su esempio.com dai contenuti controllati dall'utente su subdomain.example.com (ad esempio Pagine Github ). Quali sono i rischi al contrario? Se il mio contenuto è ospitato su subdoma...
posta 07.03.2017 - 20:33
0
risposte

La manipolazione della cronologia dei siti incrociati (XSHM) è ancora pertinente?

XSHM è una vulnerabilità che sfrutta il fatto che l'oggetto della cronologia del browser non segue lo stesso Politica di origine e quindi rintracciando le modifiche apportate a questo oggetto potremmo essere in grado di monitorare le attività...
posta 19.02.2018 - 08:07