Domande con tag 'same-origin-policy'

domande con tag
1
risposta

ReverseProxy e conformità PCI

La mia azienda ha un gateway di fatturazione conforme allo standard PCI e espongono un servizio per l'invio dei dettagli del pagamento con carta di credito. Sto scrivendo un sito web (Applicazione Pagina singola / end-to-end javascript) per l...
posta 27.09.2013 - 00:04
1
risposta

Qual è il contesto "about: blank" per la sicurezza e la privacy del browser?

Questo blog descrive un modo per nascondersi l'intestazione del referer in varie situazioni. In particolare si riferisce a cose che vengono eseguite nel contesto about:blank . Che cos'è il contesto about:blank ? In che modo...
posta 29.03.2013 - 16:44
1
risposta

Ottenere informazioni sensibili dalla pubblicità visualizzata nelle pagine web

Come tutti sappiamo, JavaScript caricato all'interno di un sito web A viene limitato per accedere al dominio stesso [ stesso criterio di origine ]. Purtroppo, la stessa politica di origine non si applica ai nodi DOM appena creati, che per e...
posta 07.09.2013 - 01:09
1
risposta

Perché sono permesse le richieste POST tra domini? [duplicare]

Capisco che la buona pratica è usare i token per prevenire CSRF, ma perché i browser consentono le richieste POST cross-site in primo luogo? Sembra che dare alle parti non fidate un libero accesso in scrittura al tuo server sia una cattiva ide...
posta 11.06.2018 - 05:50
3
risposte

CSRF non funziona su proxy CORS

Sto consumando servizi OData da JQuery e sto girando in uno scenario tipico di Same Origin Policy. Non ho il controllo sul server e quindi non posso implementare CORS, quindi l'unica cosa che posso fare è usare un proxy per bypassare la stessa p...
posta 19.05.2017 - 21:19
0
risposte

In pratica, i cookie di terze parti sono utilizzati in Autenticazione? Se sono bloccati, qual è la UX?

Sto effettuando ricerche sul flusso di autenticazione nel caso in cui vengano utilizzati cookie di terze parti per l'autenticazione su un sito Web e vengano bloccati dalle impostazioni di policy, proxy o browser. È chiaro che CORS e vari plu...
posta 23.01.2017 - 00:12
1
risposta

È possibile ottenere un flash src dopo un reindirizzamento o un elemento all'interno di un tag embed / object / iframe (cross-domain)?

L'URL example.com/auth reindirizzerà automaticamente l'utente (HTTP 302) a example.com/signed_in.SWF?token=SENSITIVE. È possibile che un utente malintenzionato rubi il token, utilizzando javascript o flash, nell'esempio seguente? Come? <...
posta 28.08.2015 - 22:57
3
risposte

Perché non è possibile aggirare SOP utilizzando l'attributo "src" nel tag dello script?

Non ho familiarità con Javascript, ma voglio sapere cosa non può essere fatto in questa procedura per aggirare SOP ed estrarre dati sensibili: imposta il tag <script src="https://facebook.com/messages"></script> il browser...
posta 29.03.2018 - 19:18
1
risposta

I token CORS e CSRF sono solo per le richieste POST e GET? [chiuso]

Ho le seguenti domande su CSRF, SOP e CORS. I token CSRF proteggono solo l'invio di moduli con metodi POST o GET? Si tratta solo di una "pratica comune" (riguardo al fatto che solo le richieste di moduli sono vulnerabili come ad esempio POS...
posta 14.05.2018 - 11:43
1
risposta

Stessa politica di origine e token CSRF

Se crediamo che i browser soddisfino la stessa politica di origine senza bug, avremmo ancora bisogno di token CSRF? Supponendo che il server non abbia CORS abilitato: Per quanto ne so non siamo autorizzati a fare richieste POST di cross-origi...
posta 20.03.2017 - 09:20