在Internet Explorer上访问iFrame中的域Cookie
在Internet Explorer上访问iFrame中的域Cookie可能会受到跨站脚本(XSS)攻击的影响。XSS攻击是在用户输入的数据中插入恶意代码,以盗取身份验证凭据或篡改数据。为了保护用户安全,Microsoft引入了针对跨站脚本的缓解措施——CSP(内容安全策略)。
具体来说,CSP可以防止执行来自iFrame的恶意脚本的攻击。CSP通过允许用户配置以下两种策略来实现这一点:
- 脚本限制:该策略允许您选择只允许脚本的来源。这可以通过将以下JavaScript代码传递到该设置来完成:script-src 'self' https://i.i-web.com.sg上述设置将只允许从自己的域和iWeb域(https://i.i-web.com.sg)加载JavaScript内容。
- 绑定协议:该策略允许您选择脚本协议。例如,您可以在CSP设置中使用以下代码来阻止访问HTTP和HTTPS版本的脚本:script-src http://i.i-web.com.sg https://i.i-web.com.sg
这些策略选项有助于确保只有经过验证并安全的网站才能访问Cookie数据。
相关·内容
1回答
阻止文档窗口文档脚本
javascript、jquery、html
假设我们有一个调用外部JS文件的Javascript函数,如下所示:
(window,document,'script','www.mydomain.com/myscript.js');
我们如何使用Javascript来阻止这种情况(或者甚至以某种方式删除调用-删除URL)?
我试图找到域名'www.mydomain.com‘并将其移除,但我无法访问脚本标签中的元素。
浏览 0提问于2018-05-07得票数 0
2回答
Magento 2.3.5-p1由于内容安全策略,前端为空
magento、magento-2.3
我刚把我的magento商店从2.3.4升级到2.3.5-p1。我的商店使用static.domain.com和media.domain.com来部署静态和媒体内容。
控制台错误消息-示例报告仅拒绝加载样式表'URL‘,因为它违反了以下内容安全策略指令:....
期待着很快收到大家的回音!
浏览 28提问于2020-05-04得票数 2
回答已采纳
2回答
Google分析内容安全策略
javascript、google-analytics、http-headers、content-security-policy
我有内容安全策略:
default-src 'none';
style-src 'self';
script-src 'self' https://www.google-analytics.com;
img-src 'self' https://www.google-analytics.com;
connect-src 'self';
在我的页面上,我将内联GA代码放入异步脚本中:
<script src="/javascript/ga.js" async></script>
浏览 1提问于2016-12-30得票数 15
回答已采纳
2回答
如何允许我的Chrome应用程序访问外部Api
javascript、api、google-chrome、external
我刚从大学毕业,正在尝试新事物。我正在尝试制作一款chrome应用程序,并希望使用:
<script src="http://connect.soundcloud.com/sdk.js"></script>
当我尝试运行它时,我得到了这个错误:
Refused to load the script 'http://connect.soundcloud.com/sdk.js' because it violates the following Content Security Policy directive: "default-s
浏览 0提问于2015-04-20得票数 1
2回答
内容安全策略如何帮助防止XSS和其他注入漏洞?
xss、content-security-policy
我正在读CSP的文章,我在一个已经实现的站点上做了一些测试,我发现了一个xss漏洞,尽管它使用的是CSP。
浏览 0提问于2019-10-22得票数 -1
1回答
XSS与内容安全策略
php、xss、htmlspecialchars、content-security-policy
通过阅读,我知道什么是上下文感知的转义。
在我的其他一些项目中,我使用了,但是我想知道如果我启用了内容安全策略而不允许 for JavaScript (脚本)和CSS (样式),那么使用来防止XSS是否就足够了。在我看来,这消除了PHP文件本身中的JS和CSS上下文。
假设我不需要输出不受信任的HTML数据,只需要输出HTML和HTML属性中的数据。
我真的很想远离像Twig和Smarty这样的模板框架。
浏览 1提问于2014-10-13得票数 0
回答已采纳
4回答
使用Iframe编写跨站点脚本
javascript、iframe、xss
我正在尝试跨站点脚本。我有一个网站,允许用户插入评论,并在网站上查看他们。网站过滤了字符串"script“,虽然是从评论中过滤出来的,但它允许iframe。我知道我可以嵌入一个iframe,指向我自己制作的网站,我可以运行任何我想要的脚本。我的问题是:我的iframe脚本是否能够读取由原始网站启动的cookie?我尝试过警报(document.cookie),但它显示了一个没有任何内容的警报。但是,原始网站总是在客户端请求cookie时设置cookie。知道我错过了什么吗?
浏览 2提问于2011-11-28得票数 9
回答已采纳
1回答
CORS过滤器如何保护我免受XSS攻击
java、security、xss
我有以下CORS过滤器的实现:
@Singleton
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) throws IOException {
final int ACCESS_CONTROL_MAX_AGE_IN_SECONDS = 12
浏览 16提问于2017-02-10得票数 0
2回答
如果允许不安全内联,CSP能保护我们什么?
security、content-security-policy
目前,我将内容安全策略(CSP)定义如下;
Header set Content-Security-Policy: "default-src 'self' data:; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;"
考虑到上面的CSP定义,我对内联JavaScript有一个挑战,因为它可以在任何时候被覆盖。
如果unsafe-inline实际上不能
浏览 1提问于2016-10-20得票数 40
1回答
内容-安全性-策略问题
facebook、.htaccess、content-security-policy
我在htaccess中使用了下面的代码,但出于某种原因,我在控制台中得到了一条错误消息。知道问题是什么吗?
谢谢,
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com htt
浏览 3提问于2016-05-05得票数 1
回答已采纳
2回答
允许不安全的内联脚本是否辜负了CSP的目的?
content-security-policy
我正在回顾在我们的一个set服务器中设置的内容-安全性-策略头,我看到它是如何设置的(其中'example.com‘是我们信任的网站)。
内容-安全性-策略:默认-src 'self';脚本-src 'self‘数据:’不安全-内联‘’不安全-eval‘;img-src 'self’*.example.com;字体-src *;连接-src 'self‘*example.com“。
我的问题是:
( 1)白名单中的unsafe-inline和unsafe-eval难道不能打败整个CSP吗?
2)如果允许使用“不安全-内联”,或者如上面所示,有人可
浏览 0提问于2018-11-20得票数 3
1回答
通过Chrome扩展禁用网页的内容安全策略
javascript、google-chrome、google-chrome-extension、content-security-policy
我正在创建一个Chrome扩展,它修改由服务器提供的脚本(我无法控制)以向网站添加新功能,我有以下想法:
webRequestBlocking.Send 通过WebRequest阻止原始脚本,将被阻止的脚本的url插入到页面中。从页面的脚本中获取这个url。编辑代码的一部分(字符串)。编辑字符串。
(另一种工作方式是将其重定向到Chrome扩展文件夹中的本地修改脚本return { redirectUrl: chrome.extension.getURL("modified.js") };,但是不可能动态修改它,这就是为什么我想对修改过的脚本进行验证)
当我尝试在第五步中对字符
浏览 2提问于2020-05-10得票数 2
2回答
X-XSS-保护与CSP
http-headers、content-security-policy
据我所知,CSP可以用于所有与X-XSS-Protection等相同的东西。如果您正在使用CSP,那么也有什么好的理由使用X-XSS-Protection吗?
浏览 4提问于2015-07-14得票数 14
回答已采纳
2回答
在Apache web服务器中设置内容安全策略
apache、xss、content-security-policy、penetration-testing
我们进行了渗透测试,结果之一是:
“缺少内容-安全性-策略HTTP响应头”
我们做了一些研究,并找到了如何在web服务器httpd.conf文件中设置这个文件。问题是我们不知道确切地包括什么。我们的web应用程序实际上并没有任何依赖于外部网站,如googleapis或任何CDN或外部图像在网络上。所以,我们不太清楚该放什么。
下面是一个示例,但它依赖于一些google链接。
<Location "/CompanyXYZ/">
Header always append X-Frame-Options deny
Header always set Content-Sec
浏览 19提问于2020-05-30得票数 9
2回答
内容安全策略基-uri保护哪些攻击?
html、content-security-policy
我读过关于基苏里和超文本标记语言基标记的文章,但是base-uri CSP到底是用来保护什么的呢?
浏览 0提问于2018-08-01得票数 3
1回答
Mozilla团队因为内容安全策略禁用了我的插件-如何正确设置manifest?
javascript、reactjs、youtube、mozilla、content-security-policy
我有一个叫Numov (VanillaJS应用程序)的插件,它会给用户提供新的电影。当用户单击缩略图时,将出现一个框并显示该电影的预告片。之前,Mozilla团队并不关心我的清单设置,如下所示: "content_security_policy":"script-src 'self‘https://youtube.com https://www.youtube.com https://s.ytimg.com https://ytimg.com;object-src 'self'“ 但是,就在昨天,当我将我的应用程序更新到版本2(转换为React
浏览 19提问于2020-04-17得票数 0
2回答
有效的内容安全策略是否减轻了通用的跨站点脚本漏洞?
web-browser、xss、vulnerability、content-security-policy、browser-extensions
我正在对XSS的类型和预防做一些背景研究,据我了解,对于插件或浏览器中的通用XSS,没有什么应用可以做。
XSS漏洞的最后一道防线是一个好的内容安全策略头集。它不会消除潜在的漏洞,但会阻止攻击者有效利用该漏洞。例如,以下策略仅从与网页相同的来源加载脚本:
Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; frame-src 'none'; base-uri 'none';
由于这是基于浏览器的web应
浏览 0提问于2021-01-19得票数 0
回答已采纳
1回答
内容安全策略停用
java、html、jsp、aem、content-security-policy
我开发了一个新网站。在chrome浏览器中,有一些关于“不安全内联”的例外。这是因为HTML中有内联javascript和内联样式。我将X内容-安全性-策略/内容-安全性-策略设置为允许内联脚本等。但是,对于内联脚本,其他定义没有作用,比如为img设置url。
<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://conn
浏览 2提问于2016-03-08得票数 0
回答已采纳
4回答
加载内容安全策略阻止的资源
express、content-security-policy
下面是浏览器控制台中的错误:
内容安全策略:页面的设置阻止了在http://localhost:3000/favicon.ico (“default-src”)上加载资源。
我在网上搜索,发现应该用下面的代码片段来修复这个问题:
<meta http-equiv="Content-Security-Policy" content="default-src *;
img-src * 'self' data: https: http:;
script-src 'self' 'unsafe-inline&#
浏览 0提问于2019-05-30得票数 24
回答已采纳
1回答
XSS攻击没有在正确的有效载荷下执行
xss、javascript
你好,我在一个私有程序上进行测试,在那里我可以注入XSS,但是由于某种原因,当我将鼠标放在输入字段上时,它不会弹出。
<input type="text" onmouseover="alert(document.cookie)">
📷
注意:我首先创建了<svg onload="alert(1)">
它不起作用,然后我创建了输入字段,它在页面上是可见的,但没有执行脚本。
响应头具有以下CSP报头
Content-Security-Policy: object-src 'none'; img-src data
浏览 0提问于2022-01-21得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
