Domande con tag 'same-origin-policy'

domande con tag
0
risposte

Configura Access-Control-Allow-Origin per i client con origine: null

Sviluppo un'app Web. Quando eseguo l'app su Android, l'origine nell'intestazione di una richiesta di rete è null . Access-Control-Allow-Origin nell'intestazione della risposta è anche null , perché l'origine della risorsa è qualcosa come...
posta 28.03.2018 - 15:39
3
risposte

Come si applica la stessa politica di origine a due finestre differenti di un browser?

Uno scenario particolare che mi interessa: se apro una finestra del browser Chrome con l'opzione --disable-web-security , SOP è disabilitato. Questa finestra sarà in grado di accedere ai dati sui siti web aperti in un'altra finestra?     
posta 22.07.2016 - 21:00
1
risposta

Quando la politica della stessa origine impedisce l'invio di una richiesta?

Ho avuto a che fare con alcune confusioni sulla politica della stessa origine. Diciamo che il mio attacco assomiglia a questo. Nella pagina a evil.com l'autore dell'attacco ha inserito (jQuery): $.post('http://bank.com/transfer', { to:...
posta 11.12.2016 - 04:47
2
risposte

Le immagini visualizzate sui profili per URL hanno implicazioni sulla sicurezza?

Sto sviluppando un'applicazione Web Attualmente, in cui gli utenti possono creare un profilo e compilare le informazioni dell'utente, in questo ho anche conservato una sezione per l'immagine del profilo, in quanto ho usato una logica che nessun...
posta 24.06.2016 - 09:34
1
risposta

Come si applica la politica della stessa origine tra le schede del browser? [duplicare]

Supponiamo di avere 2 schede aperte in un browser contenente la pagina A (A.html, A.js) nella prima scheda e la pagina B (B.html, B. js) nella seconda scheda e quella pagina A e B hanno la stessa origine (schema, dominio, porta). C...
posta 28.01.2015 - 20:26
1
risposta

SSO tramite HMAC e chiave condivisa. Questo può essere migliorato?

Dato un utente autenticato su A.com, vogliamo reindirizzare l'utente su B.com in modo che possa essere autenticata immeditamente. Lo schema che sto considerando è molto semplice: A.com e B.com condividono entrambi la chiave S . Su A.com,...
posta 10.02.2014 - 23:11
1
risposta

Quali server o client sono immuni agli attacchi dei cookie nel dominio correlato? (* .Example.com)

In questa domanda, voglio identificare i browser, i server o le implementazioni che sono immuni dagli attacchi relativi ai cookie di dominio correlati (ad esempio un esempio .com vs b.example.com) . Mancanza di qualsiasi soluzione tangibile,...
posta 06.03.2012 - 21:32
1
risposta

È un rischio per la sicurezza che i browser possano ottenere liberamente immagini (e / o altre risorse) tra domini diversi?

La stessa politica di origine ci protegge da un sito malevolo che manipola i dati sul nostro sito attendibile non consentendo le richieste che invierebbero il cookie auth, ad es. Ma se capisco correttamente le immagini, gli script, ecc. Sono un'...
posta 27.10.2016 - 10:58
1
risposta

Perché l'intestazione di Referer non usa "same-origin" per impostazione predefinita?

La stessa politica di origine è una parte importante del modello di sicurezza, quindi per impostazione predefinita è "attivata" per la maggior parte delle cose, ma per il referente non sembra essere così. Il predefinito per i browser sembra esse...
posta 20.11.2018 - 09:59
1
risposta

La stessa politica di origine per il web è utile solo a causa dei cookie?

Esiste una stessa politica di origine nel browser per garantire che ad es. cattivo sito non leggerà i tuoi dati da Facebook. Ma sembra che l'unico problema che cerca di risolvere è che i cookie vengono automaticamente inviati con la richiesta ch...
posta 02.02.2016 - 15:36