Domande con tag 'same-origin-policy'

domande con tag
4
risposte

I nuovi gTLD stanno arrivando. In che modo i browser gestiranno cookie, SOP e certificati?

Dato che la "zona" di sicurezza varia in base al TLD, come verrà gestito il nuovo TLS? Ad esempio: un browser può consentire la condivisione di cookie e certificati SSL e certificati jolly company.com (due livelli di profondità)...
posta 12.08.2013 - 19:36
2
risposte

Test CSRF di un endpoint API utilizzando le richieste GET

Ho un endpoint api che restituisce un nuovo token API in JSON all'utente se sono connessi al mio sito Web con solo i cookie di sessione utilizzati per l'autenticazione. Sto provando a scrivere una parte di codice che viene caricata automatica...
posta 05.03.2018 - 19:13
1
risposta

Usi della stessa politica di origine

Sto cercando di capire quali casi d'uso esistono per l'uso della stessa politica di origine ( SOP) . SOP impedisce a un documento o uno script caricato da un'origine di interagire con una risorsa di un'altra origine. Ma in quali scenari q...
posta 09.02.2015 - 00:42
1
risposta

Perché la stessa politica di origine è ragionevole per le richieste?

Questa non è la stessa domanda di Perché è lo stesso la politica di origine è così importante? . Quello chiede solo il motivo per cui i cookie vengono sempre inviati all'origine da cui provengono, cosa che capisco. Ciò che non capisco è i...
posta 07.08.2018 - 12:04
3
risposte

Informazioni su SOP in più schede

Sto leggendo un'altra risposta su questo sito Web. Dice: Assume you are logged into Facebook and visit a malicious website in another browser tab. Without the same origin policy JavaScript on that website could do anything to your...
posta 08.02.2015 - 23:30
1
risposta

Nello stesso criterio di origine, perché i diversi protocolli sono considerati una violazione della sicurezza?

Riesco a capire perché i contenuti di domini diversi sono considerati non arrugginiti per lo stesso criterio di origine. Ma come può essere pericoloso il contenuto di diversi protocolli dello stesso sito / dominio? Qualcuno può dare un esempi...
posta 28.01.2014 - 23:16
4
risposte

Come mai le chiamate img non violano il SOP (Same Origin Policy)?

Sono un po 'confuso riguardo l'argomento della politica sulla stessa origine. Se capisci correttamente. Lo scopo di SOP è impedire a una pagina di ottenere l'accesso a dati sensibili su un'altra pagina Web. Quindi, ad esempio, come mai pos...
posta 26.07.2018 - 20:29
2
risposte

È sicuro impostare il valore dell'intestazione "Access Control Allow Origin" sul valore dell'intestazione "Origin" che è implicitamente impostato dal browser?

Stavo testando un sito Web e ho notato che modificando il valore dell'intestazione "Origine" di una richiesta con un'applicazione proxy di intercettazione l'applicazione Web inviava una risposta con "Controllo accesso Consenti origine" impostato...
posta 13.10.2017 - 08:50
1
risposta

Utilizzo degli URI di dati per eseguire XSS nei tag di ancoraggio: vulnerabilità? [duplicare]

Ho esaminato alcuni problemi relativi all'XSS. In tal modo, mi sono imbattuto in alcune checklist di tipo "XSS Filter Evasion" che dimostrano il presunto XSS tramite gli URI di dati. Ad esempio: L'ultima riga di: link Oppure questo rap...
posta 21.07.2017 - 09:10
2
risposte

È possibile utilizzare postMessage per inoltrare i dati agli iframe degli hacker nell'attacco CSRF?

Considera un utente che ha una sessione aperta su un sito legittimo con una password. Questa pagina non ha token anti-CSRF. Un hacker crea una pagina web con 2 iframe nascosti. Un iframe esegue un GET sulla pagina con la password e invia ques...
posta 14.04.2015 - 18:31