Domande con tag 'same-origin-policy'

domande con tag
1
risposta

Active Directory: le workstation dovrebbero essere separate dai server per proteggerle da hack dei domini correlati?

In che modo è necessario proteggere gli host unificati del dominio nello stesso dominio di Active Directory da Attacco cookie di dominio correlato ? Supponiamo che ci sia una foresta AD chiamata example.com . Questa azienda ha una variet...
posta 05.03.2012 - 10:54
2
risposte

Sottodomini specifici dell'utente: sicurezza JavaScript

Se fornisco un sito web pubblico per gli utenti sul mio sito web al proprio sottodominio (ad esempio bob.myapp.com ) sotto il proprio controllo, posso consentire loro di eseguire JavaScript arbitrario senza mettere a rischio il mio server pr...
posta 25.10.2012 - 20:17
0
risposte

Esiste una superficie di attacco iframe a webcache.googleusercontent.com?

Ho notato che uno dei miei siti web risulta praticamente vuoto se visualizzato da Google Cache a webcache.googleusercontent.com , perché Google apparentemente deve inserire la seguente intestazione aggiuntiva, che, a quanto pare, fa sì che S...
posta 19.07.2015 - 04:54
2
risposte

I browser Web più vecchi o personalizzati sovrascrivono lo stesso criterio di origine?

Comprendo perfettamente la base della politica di origine e il ragionamento per cui tutti i browser moderni hanno implementato questa politica. La mia domanda è, i browser più vecchi lo supportano e, in caso contrario, potrebbero significare...
posta 01.10.2013 - 16:31
2
risposte

Implicazioni del modello di sicurezza dei cookie HTTP sulle connessioni HTTPS

Ho una funzionalità che richiederebbe all'utente di fornire l'URL per uno script personalizzato, archiviare l'URL in un cookie e incorporare lo script nelle risposte successive. Questo, naturalmente, solleva immediatamente preoccupazioni sull...
posta 18.09.2015 - 21:18
1
risposta

cosa impedisce l'invio di "$ .post" da un dominio all'altro?

Ho un sito web nella scheda chromium e un altro sito web in un'altra scheda, Sto eseguendo un comando a post singolo nel secondo sito web - $ .post (...); al primo sito web. Originariamente non funziona (ottenendo: "No l'intestazione Access-Cont...
posta 13.07.2017 - 00:55
2
risposte

Cookie di terze parti e CSRF

I cookie di terze parti aprono la possibilità di CSRF dove potrebbe non esistere? Stavo consultando un post del blog e un Bozza IETF sui cookie same-site che fanno sembrare che i cookie di terze parti potrebbero fai succedere la CSRF. La...
posta 13.01.2017 - 17:07
2
risposte

Un'applicazione a singola pagina rompe naturalmente la stessa politica di origine?

Supponiamo che tu abbia un'applicazione web. L'API di back-end è distribuita a api.example.com e il tuo front-end SPA è distribuito a frontend.example.com . Quando lo apri, scarichi tutte le risorse sul tuo browser. L'origine è fronte...
posta 30.08.2017 - 10:03
1
risposta

CSRF token rubare

Mi sono imbattuto in questo link che indica come un utente malintenzionato potrebbe sfruttare il controllo di accesso per consentire a un origine di ottenere un token anti-CSRF: link Se il token dell'esempio precedente era un token monou...
posta 05.06.2014 - 16:27
1
risposta

Applicazione Web con origine CORS: * utilizzando l'intestazione dell'autorizzazione

Come indicato qui, link a "Richieste e caratteri jolly credenziali". Citazione: When responding to a credentialed request, the server must specify an origin in the value of the Access-Control-Allow-Origin header, instead of specifying...
posta 21.09.2018 - 15:49