xss相关内容
是否可以在CSS样式表中使用跨网站脚本?例如,一个引用样式表包含恶意代码,你会怎么做? 我知道你可以使用样式表,但是样式表呢? 解决方案 //code.google.com/p/browsersec/wiki/Part1#Cascading_stylesheets“rel =”nofollow noreferrer“>浏览器安全手册 JavaScript执行的风险。作为一个鲜为人知的
..
我从另一个网页加载内容,并根据网页的内容,更改我的网页的内容,这是给我的跨网站脚本问题。 当我使用iframe时,由于内容来自其他域,因此iframe的内容变得不可访问。 当我使用ajax并尝试将内容注入纯HTML代码时, 当我在jQuery中使用JSONP(如getJSON)时,它只支持GET协议,并且不足以进行进一步处理。 我不知道我可以尝试什么其他选项。听说DOJO,GWT,
..
我在sub1.domain.com上有wymeditor,可以通过sub2.domains.com上的网页访问。 此活动会出现错误 var styles = this._doc.styleSheets [0]; 拒绝获取属性HTMLDocument.styleSheets from
..
阅读这篇文章后,我没有明确的答案: http://palizine.plynt.com/issues/2010Oct/bypass-xss-filters/ 浏览器会解释 src 作为执行 标签的文档? 可以安全地允许第三方HTML中的数据URI? 此用例在浏览器级别存在什么安全机制? 解决方案 MSDN文档说IE不会: 出于安全
..
我使用 postMessage 将事件从iframe发送到其父文档。我可以控制双方,但内容来自两个不同的域。 我的简单问题是,我无法识别iFrame里面的父回调方法。实施方式如下: 在iFrame中: parent.postMessage(JSON.stringify({action:“closeView”}),'*'); 在父窗口中: wind
..
我尝试执行跨网域POST请求,并且遇到了一个墙(或两个)。 我无法在服务器上放置代理页 - 我研究过getJSON,除了我需要POST而不是GET之外,它工作得很好。 有可能做到这一点吗?如果是不是,有人可以向我解释getJSON的工作原理,以及为什么我不能做POST替代。 解决方案 您无法提出跨网域请求(GET / POST等)使用XMLHttpRequest(又名AJ
..
网页 A.com 有2个iframes B.com/page1 和 B.com/page2 。 这是A.com的代码: 我要在 B
..
我想从另一台服务器读取xml到一个网页,我假设我的问题是同源政策,因此一个跨域问题。 我有一点googling,似乎jsonp是向前的方式。 基于我在stackoverflow和另一个网站上找到的一些例子,这是我有,它不“打”服务器与xml。我可以在浏览器中查看xml。 $(document).ready(function(){ $。 ajax({ type:'GET', d
..
我想创建我的第一个小提琴。所以这里是我想用jquery做的 $('。list')。live('click',function { var dataPass ='uid ='+ uid; $ .ajax({ type:“POST”, url:“test.php”, data:dataPass, cache:false, success:function(html){ //
..
如何存取iframe: var iframe = document.getElementById('sitefield1'); var innerDoc = iframe.contentDocument || iframe.contentWindow.document; var elem = innerDoc.getElementsByClassName(“myclass”)[0]
..
我一直在阅读 CORS 以及它是如何工作的,但我发现很多事情让人困惑。例如,有许多有关 用户 Joe 浏览器 BrowserX 从 site.com , 获取数据,然后发送请求到 spot.com 。为了允许这种情况, spot 有 特殊标头... yada yada yada 没有太多背景,我不明白为什么网站不会让某些地方的请求。我的意思是,他们存在为服务对请求的反应,不是吗?为
..
跨网站指令码(XSS)在 CORS 的维基百科页面中提及。但我不明白他们是如何相关的。 解决方案 XSS在关于JSONP的维基百科文章中提及,而不是CORS。 p> 在JSONP中,您引用包含您要在页面中包含客户端的数据的页面,如下所示:
..
我在阅读关于 CORS 的信息,我认为实施既简单又有效。 / p> 但是,除非我错过了一些东西,我认为规范中缺少一个很大的部分。根据我的理解,外部网站决定,基于请求的原点(并且可选地包括凭证),是否允许访问其资源。这很好。 但是,如果页面上的恶意代码想要将用户的敏感信息发布到外国站点怎么办?外地站点显然要认证请求。因此,再次,如果我没有错过一些东西,CORS实际上使得更容易窃取敏感信息
..
我试图在客户端和apache服务的python(django)服务器上使用jQuery(1.7.1)供电ajax设置简单的跨源资源共享。根据所有的说明我已经读我的标题设置正确,但我不断得到以下错误: XMLHttpRequest无法加载 http://myexternaldomain.com/get_data 。 来源 http:// localhost:8080 不允许通过 Acces
..
当我在Android模拟器或我的Android设备上运行我的应用程序时,我在所有AJAX请求中遇到以下错误: 无法加载资源:服务器响应状态为404(找不到) 已尝试所有以下步骤来解决此问题,但它仍然存在。 使用npm将白名单插件安装到项目中。 > 已将
..
有没有推荐的方法来移除对不需要的PhoneGap API的访问? 例如,我们的应用程序不需要访问联系人数据库。 对于正常的网页,XSS漏洞被沙盒化以仅影响一个网站(浏览器防止对其他网站的任何传染)。使用PhoneGap应用程序,默认情况下,XSS漏洞可以访问联系人列表或PhoneGap API的任何其他部分。 我想避免Skype的情况, Skype中的可恶性允许攻击者复制其用户的
..
我在 http ://localhost/mySite/Page1.aspx上有一个网页,其中包含具有src https :// localhost / mySite / Page2的iframe。 aspx。 在iframe页面(Page2.aspx)中,我使用JavaScript设置cookie。如何在父页面(Page1.aspx)上读取该Cookie?看起来Page1没有看到Page2
..
未妥协的计算机上的Web应用程序容易受到XSS,CRSF,sql注入攻击和在不安全的WiFi环境中的Cookie窃取。 为了防止这些安全问题,补救措施 sql注入:一个好的数据映射器(像linq-to-sql)没有sql注入的风险(am inaïeveto ) CSRF:每个表单都通过验证(这是asp.net mvc环境中的一个
..
哪些浏览器支持HttpOnly Cookie,以及哪些版本? 请参阅 http://www.codinghorror.com/blog/archives/001167.html 了解有关HttpOnly Cookie和XSS防护的讨论。 解决方案 可随意添加到此列表中: 资源管理器,因为6 sp1(源,来源) Firefox自2.0.0.5起( source ) Opera
..
受到这篇CodingHorror文章的启发,“保护您的Cookie:HttpOnly ” 如何设置此属性? 解决方案 如果您使用的是ASP.NET 2.0或更高版本,可以在Web.config文件。在部分,添加以下行:
..