我有一个关于托管在域(例如:CDN域，例如example.com)但从不同域(例如example.net)下的网站加载的JavaScript的潜在安全问题/限制的问题.现在假设加载的JavaScript将只读取/修改具有特定id的div中的文本，所以没有什么“复杂”的。一个例子:我从http://example.com/myscript.js加载了脚本,并在http://example.net/index.html上执行:[注意不同的TLD!]我知道我无法从JavaScript访问mysite.com下的Cookie，但我可以访问页面上的所有DOM，以防万一，修改它。这不是一个可能的安

如何打开“跨域安全”，以便页面上的JavaScript可以自由地与SWF通信，即使它托管在另一个域上？我确信此函数通信在默认情况下被阻止，但通过使用名为“crossdomain.xml”的文件和actionscript3函数:system.Security.allowDomain("*")。不过，我并没有取得圆满成功，而且我没有洞察力来了解哪一个正在为什么而开放。在这种情况下是否需要考虑其他隐藏的安全层？我是否通过这种设置以某种方式向潜在的黑客开放了我的代码？(如果您想知道:是的，我必须在这样一种情况下进行这项工作，其中html托管在一个域中，JavaScript是从另一个域外部添加的

上周我根据xHTMLStrict1.0/CSS2.1标准验证了我客户的网站。今天，当我重新检查时，我遇到了由一个奇怪的和以前未知的脚本引起的验证错误。我在ExpressionEngineCMS的index.php文件中找到了它。这是我怀疑的黑客攻击吗？我忍不住注意到脚本中编码的俄罗斯域...这个javascript在做什么？我需要向我的客户解释具体的危险。this.v=27047;this.v+=187;ug=["n"];OV=29534;OV--;vary;varC="C";varT={};r=function(){b=36068;b-=144;M=[];functionf(V,w,

我们对我们的网站进行了白帽扫描，他们返回的漏洞之一是我们的URL附加了whscheck'*alert(13)*'a/。当我们运行完整的URL(https://oursite.com/phorders3/index.php/whscheck'*alert(13)*'a/)时，网站会加载并发出带有值的警报13流行音乐。谁能解释这是如何工作的？星号和a/到底在做什么？ 最佳答案 您页面中的代码在Javascript的字符串文字中使用URL中的值，而没有正确转义该值。这意味着任何人都可以将Javascript放在URL中，它就会在页面中执行

我有一个Owin自托管C#应用程序，它通过127.0.0.1:5555提供WebAPI服务(它只监听本地主机，没有外部连接)。这些WebAPI服务是使用AngularJS应用程序中的Ajax调用的。顺便说一句:Owin应用程序的原因是需要与硬件进行某些交互，而这在浏览器中是不可能的。此外，AngularJS应用供内部使用，因此我可以控制所使用的浏览器。以上内容在HTTP上运行良好，但AngularJS应用程序需要使用SSL，除非Owin应用程序也使用SSL(否则您会收到“混合内容”错误)。我已经为AngularJS应用程序购买了官方证书，并且我正在为Owin本地主机使用自签名证书。问题

我们正在为HTML5游戏设计在线Playground。用户可以上传包含他们游戏的zip文件。上传时，zip由服务器解压，每个文件循环检查其扩展名是否符合白名单，允许:.html.js.png.jpg.appcache.m4a.ogg(游戏必须在我们导出这些文件的游戏编辑器中制作)。这应该可以防止人们上传zip、服务器端脚本文件等。然后游戏会转移到我们的静态无cookie域(scirra.net)。在我们的scirra.com页面上玩游戏时，游戏会显示在指向scirra.net域的iframe中。这应该可以防止恶意JS访问scirra.comcookie。这个iframe技术和白名单是否

我计划通过将用户输入的用户名/密码存储到javascript变量中，在非ssl加密站点中进行安全登录。每次用户发出请求时，我的应用程序都会首先从服务器请求一个token，然后将其与存储的$scope.password结合起来，进行哈希处理，然后发送到服务器进行验证。如果验证正确，则请求将继续，否则将停止。此外，每次验证完成后，服务器都会创建一个新token，无论它是否有效。据我所知，如果我使用即时函数是安全的，但是由于我将使用angularjs，我认为这是不可能的，那么如何确保用户名/密码存储在内存不可破解？谢谢。 最佳答案 您无法

Firefox插件allowyoutodocross-domaincommunication.有什么方法可以公开此功能，以便我可以从任何页面启动跨域ajax(假设我已经安装了此插件)？编辑:我知道什么是CORS，只有当你控制了服务器时，CORS才有意义，但我不知道。这里的重点是我控制浏览器，我承担风险所以我问是否无论如何将跨域功能从插件阶段导出到用户空间。 最佳答案 正如您所说，同源策略仅用于保护客户端(您自己)，通常免受XSS攻击。我不确定你想用插件实现什么，但你当然可以trydoingthefollowingonyourownm

我必须在我页面的iframe中包含一个外部白标签网站。外部站点上有许多页面，而且它们的高度差异很大。我需要调整iframe的高度以适应这种情况。我可以获取加载到iframe中的第一页的高度(使用PHP)，但无法获取后续页面的高度，因为无法知道iframe中的url/位置发生了什么变化。由于这是iframe中的外部url，通常的安全限制适用，因此所有解决方案都必须来自父框架。解决方案必须至少在FF和IE上可行。我唯一能想到的就是测试滚动条在iframe上是否可见，但在这种情况下这似乎是不可能的。如果有人能证明我是错的，或者有任何其他javascript/ajax/php跨浏览器解决方案，

我正在为我的客户创建一个网络应用程序。该应用程序将安装在公司网络内的专用服务器上。他想在网页上查看他的本地文件列表(来自他的本地PC)。他的意思是任何访问者都可以从某个文件夹中看到他本地文件的列表。我知道网络应用程序无法访问访问者的文件系统。浏览器通过设计限制了这一点。当然，可能会有一些浏览器扩展、小程序和flash应用程序，甚至黑客......但事实并非如此。但是我该如何向他解释呢？他向我指出“另存为”或“加载文件”对话框，并说其他应用程序可以做到这一点。我不知道如何向他解释这只是浏览器的交互。我试图用谷歌搜索一些证据链接，但无法快速找到。你们能给我一些描述无法从Web应用程序访问用