我一直在攻击BeSpin,试图让它在我的CDN上工作,通过转换到使用JSONP,我绕过了XHR对theme.less的跨域请求。我遇到的下一个问题是新工作人员( js_file ),其中js_file位于不同的域中。我能直接给工人提供源代码吗?
浏览 1提问于2010-12-11得票数 4
1回答
跨域Javascript安全性
、、、、
它表示了与“跨域Java脚本源文件包含”的几个链接。
我可以知道攻击者如何准确地利用这种类型的漏洞吗?例如,所讨论的JS来自addthis.com (共享按钮等)。为了使此漏洞有效,攻击者必须利用addthis.com,更改他们的addthis.js,然后当我的用户浏览我的网站时,如何在我的客户端浏览器PC上执行这个修改过的addthis.js?下载外部域JS到我们这边并从我们的the服务器运行?还有其他更好、更安全的方法吗?谢谢
浏览 0提问于2015-03-04得票数 2
回答已采纳
2回答
1)如果web应用程序不使用任何Flash内容,它是否需要跨域/无客户端策略文件?
2)如果web应用程序不承载跨域/客户端访问策略文件,它是否易受攻击?
浏览 0提问于2016-05-04得票数 3
1回答
跨站点脚本- Cookie加密
、、、、
我正在开发一个客户端代理来对抗跨站点脚本攻击。来自浏览器的所有请求都将通过代理。我能够使用Referer头和其他东西将请求分类为本地请求或跨域请求。但是,我需要减少误报的数量。为此,我将在响应中跟踪从web服务器发送的cookie,并在任何跨域请求中查找此cookie的一部分,即,我将只检查携带敏感信息的跨站点请求(cookie)。但是,如果攻击者构造了一个HTTP响应,其中cookie被加密和泄漏,那么这个简单的想法就会失败。name=mihar&a
浏览 2提问于2011-03-19得票数 0
1回答
在这种情况下,我试图跨子域使用一个仅限Http的身份验证cookie。$.get('http://auth.mydomain.com', null, function(fullAuthorizeTok) {});
即使在这样的跨子域请求中也不可能发送我使用一个仅限Http的身份验证cookie来防止XSS<
浏览 1提问于2017-05-25得票数 1
回答已采纳
2回答
今天,当我被问到什么是跨浏览器脚本时,我感到困惑。根据我的理解,跨浏览器脚本与浏览器兼容性有关,跨站点脚本与java脚本黑客有关,而跨域脚本与Ajax调用有关。我也试着用谷歌搜索它,但没有弄清楚跨浏览器脚本的概念。
请帮我理解其中的区别。
浏览 2提问于2013-01-04得票数 2
2回答
Vue的main.js:import VueRouter from 'vue-router'Vue.usenext('/') ] el: '#app', render: h => h(App)和auth.js
浏览 0提问于2017-02-14得票数 3
回答已采纳
2回答
我创建了一个CRSF配置类来解决最初的跨域问题,但是我创建了一个新的Admincontroller,而新的Admincontroller有跨域问题。我在以前的UserController和新的AdminController中都创建了相同的方法,但是新的控制器在交叉访问方面存在跨域问题,而旧的控制器则没有。public class CorsConfigFilter {
// <
浏览 15提问于2022-05-31得票数 -3
我们试图跟踪用户跨域从我们的网站到另一个领域(支付处理器)。我们使用的是通用分析( Universal,analytics.js),而另一个站点使用的是传统(ga.js)。事实上,他们使用两者,但他们使用ga.js注册我们的GA ID和通用跟踪他们的GA ID。因为他们使用ga.js作为我们的GA,所以这个url参数不会被获取并在他们的站点上注册。
有人知道我们该怎么解决这种错配吗?我们正在向另一个网站寻求帮助,但到目前为止还不够。
浏览 4提问于2016-01-15得票数 2
回答已采纳
1回答
同域JSONP安全
、、、
在相同域(而不是跨域)中,以下场景对中间人攻击的脆弱性有多大?
不安全页面上的表单向安全页提交包含敏感数据(查询字符串)的JSONP请求。
浏览 3提问于2013-04-09得票数 0
回答已采纳
在进行一些研究时,我无意中发现了这个要点:https://gist.github.com/andripwn/671ef1aa6c535d9168c900524bfb84e1,它表明我所做的事情可能导致XSS攻击看起来JS代码不是普通的JS,而是Acrobat (https://opensource.adobe.com/dc-acrobat-sdk-docs/acrobatsdk/pdfs/acrobatsdk_jsapiref.pdf)的<e
浏览 0提问于2022-04-12得票数 2
在使用javascirpt访问XML和JSON提要时,我注意到了一些奇怪的事情,那就是访问经常被拒绝(出于安全原因,我猜.)。正如您在这个脚本中所看到的:和为什么?我怎么知道,API提供了诸如fa
浏览 0提问于2011-05-13得票数 0
XSS的虽然我理解什么是跨站点脚本以及跨站点脚本是如何发生的。我不知道是什么因素使选择的Android代码容易受到这样的攻击</
浏览 0提问于2015-05-22得票数 7
但是,对我来说,我发现这个想法很糟糕,因为据我所知,只有在禁止跨域时(不能访问parent.document),才是安全的。如果有某种JavaScript API,它在父文档中是可访问的,但由于<iframe>不允许跨域选项而无法访问,那么您将无法使用这种JS。如果允许<iframe>和父文档之间进行跨域通信--存在一个可能的问题,攻击者可以在<iframe>应用程序中加载JSON,这会破坏父DOM或为输入或其他.
浏览 4提问于2016-11-30得票数 0
1回答
我读了很多关于跨站脚本的内容,比如Flash,Javascript等等,我还发现了一些网站的列表,这些网站都有一个允许从任何服务器访问的crossdomain.xml。例如,flickr.com信任所有域。
有人能给我解释一下为什么这看起来是安全的,而不会导致会话劫持之类的攻击吗?是不是因为这些crossdomain.xml只在子域上有效,所以攻击者不可能获得会话密钥?
浏览 3提问于2010-09-14得票数 2
回答已采纳
1回答
帧onkeydown反馈
、、、、
我正在尝试做一个跨框架脚本攻击()的PoC,以在我的工作中显示这种攻击对于任何版本的IE浏览器都是多么危险。通过在IE8或更高版本上使用X-FRAME-OPTIONS: deny报头,可以轻松防止此攻击。但是,如果每个开发人员在所有web服务器响应中都包含这样的标头,那就更好了。
浏览 4提问于2014-01-26得票数 0
云服务器
ICP备案
对象存储
云直播
腾讯会议
腾讯云开发者
