SSL握手期间浏览器如何生成对称密钥
在典型的 https 网络场景中,我对浏览器和服务器之间的 SSL 握手有点困惑: 到目前为止我所了解的是,在 SSL 握手过程中,客户端(在这种情况下是浏览器)使用公钥(从服务器收到的证书)加密随机选择的对称密钥.这被发送回服务器,服务器用私钥解密它(对称密钥).这个对称密钥现在在会话的其余部分用于加密/解密两端的消息.这样做的主要原因之一是使用对称密钥进行更快的加密. 问题
..
browser-security相关内容
浏览器阻止App Engine静态页面上的Mathjax
我正在尝试提供一个静态页面,其中包含要由Mathjax呈现的Tex样式的Math.这些网页由Google应用引擎上的Flask应用提供.问题是-Chrome,Opera和Edge-所有浏览器都阻止Mathjax渲染数学,但是如果我在每次加载页面时从浏览器顶部手动解除阻止它,都可以正常工作.该网站可以在脱机状态下正常运行,但是通过App Engine应用程序访问页面时会出现问题.有什么方法可以防止浏
..
使用ckeditor从用户本地路径上传文件?
我正在使用ckeditor和ckeditor的uploadimage插件,这些插件可帮助我在粘贴或放置在ckeditor上时上传图像.但是,当我从具有一些图像的单词中复制内容并将其粘贴到ckeditor上时,它没有上传该图像,因为它除了图像之外还有很多其他内容.现在粘贴后,我有了来自用户本地的图像路径.我可以使用ckeditor或通过javascript从用户的本地路径上传这些文件到我的服务器吗?
..
内容安全策略的connect-src指令是否允许您发出跨域请求?
在内容安全策略中指定connect-src指令是否放宽了浏览器的原始策略,并允许您发出跨源XHR请求?还是该指令仅用于限制已经合法的XHR(即,相同的原始呼叫或CORS启用的呼叫)? 解决方案 connect-src指令不会放宽同源策略;假设浏览器已经允许您连接到它们(例如,通过CORS),它只是指定了您可以连接到的源列表. 通常,内容安全策略是您作为作者可以用来限制页面功能的注释.
..
浏览器如何在SSL握手期间生成对称密钥
在典型的https Web场景中,我对浏览器和服务器之间的SSL握手有些困惑: 到目前为止,我了解的是,在SSL握手过程中,客户端(在这种情况下为浏览器)使用公开密钥(从服务器接收的证书)对随机选择的对称密钥进行加密.这被发送回服务器,服务器使用私钥对其进行解密(对称密钥).现在,在会话的其余部分使用此对称密钥对两端的消息进行加密/解密.这样做的主要原因之一是使用对称密钥进行更快的加密.
..
如何在尝试访问localhost时避免跨源策略错误?
我想在外部服务器上上传一个静态网站,试图从 localhost:3000 获取JSON数据(服务器程序已经在用户上运行计算机)。 我正在尝试使用这样的jQuery: $。getJSON(“http:// localhost:3000 / page”,function(data){ // process data ... }); 为什么我会收到跨源政策错误,如何阻
..
如何在浏览器JS控制台中包含脚本时覆盖内容安全策略?
我试图通过这种方式使用控制台在现有网站上包含JQuery: var script = document.createElement('脚本'); script.src ='http://code.jquery.com/jquery-1.11.1.min.js'; script.type ='text / javascript'; document.getElementsByTa
..
调试“不安全的javascript尝试使用URL访问框架...”
因此,错误消息是从(i)帧内从不同域访问父帧或窗口的安全限制。 (不安全的javascript尝试从URL为yyy的框架访问带有URL xxx的框架。域,协议和端口必须匹配)。 但是,webkit或chrome中没有显示任何行生成此错误。 那么如何获得侵犯此行的行列表?我知道我可以搜索,但这也适用于cookie(document.cookie等)?是否有不允许的事项清单?
..
IE:HTTPS安全性受到res://ieframe.dll/sslnavcancel.htm的攻击
我正在开发一个拥有许多仅限HTTPS的电子商务应用程序。这个特殊的错误只发生在IE中(至少10个,没有尝试过其他的),它只发生在整个应用程序的一个HTTPS页面上。 来自研究,我收集这是IE的混合内容警告。这非常令人困惑,因为IE是唯一对此页面有任何问题的浏览器。所有其他相关浏览器都不会抱怨任何混合内容。 任何人都可以了解一下sslnavacancel.htm是什么?或者,如何进一步深
..
如果一些脚本删除以前加载或包含的脚本,异步加载webapps会发生什么?
问题是: 如果一些脚本删除以前加载或包含的脚本,在异步加载webapps时会发生什么? 脚本>
..
查找有关安全网页的所有不安全内容
什么是找到列表的最有效的方式,所有非HTTPS URL通过HTTPS页面请求?如果这种安全违规的情况发生,每一个浏览器向用户发出警报,但我不能找到一个简单的方法来查找确切的网址,导致冲突。 到目前为止,我已经找到了最简单的方法是使用Firefox,但即便如此,它仍然不是很方便。首先,我可以用鼠标右键单击,选择查看页面信息,单击媒体选项卡,并通过URL列表滚动。然而,这好像只列出的图像文件,而不是
..
在哪里浏览器保存/存储自动填充数据
在哪里浏览器存储密码和用户名的时候,我们选择记住密码。是否总是饼干或其他一些加密file.Also哪里是浏览器的自动完成功能,填补了数据从何而来。它似乎并不来自饼干作为同一自动完成信息有时出现在比它被previously填写其他网站的领域。有可能检索浏览器本身的数据(敏感以及对一般的)? 解决方案 他们很可能在使用自动填充有饼干的重要信息会给用户在用户给出了信息的更多控制担心安全。我敢肯定
..
AngularJS - 调用API的Flickr失败,警告信息
我有一个简单AngularJS应用程序,允许一个搜索Flickr的照片。问题是在IE中我得到以下信息时,我称之为Flickr的API: 的本网页访问,是不是在其控制下的信息。这会带来安全风险。是否要继续?的 如果我点击是,应用程序和工作负载相关的照片。然而,在Chrome和Firefox我没有得到任何消息,并没有任何反应 - 没有照片被加载。 下面是code: 函数PhotoControl
..