jjzjj

security

全部标签

javascript - Scripts文件夹有漏洞?

在我的.NETWeb应用程序中,我通常有一个Scripts文件夹,其中包含我所有的JavaScript文件-现在主要是jQuery,偶尔还有某种JavaScript库。我正在通过名为Nexpose的扫描器对我的一个网站运行漏洞扫描,它告诉我Scripts文件夹向全世界开放-这意味着未经身份验证的用户可以下载文件夹中包含的JavaScript文件,这是一个严重的漏洞。根据Nexpose的说法,Scripts文件夹应该被限制为只允许经过身份验证的用户访问它。这引出了我的第一个问题。我如何将Scripts文件夹限制为仅经过身份验证的用户?我尝试将web.config文件放入Scripts文件
javascriptScriptssectionstrongjqueryasp.netsecurity

javascript - AngularJS - 防止未经身份验证的用户访问给定的路由

在我的应用程序中,当用户登录时,我有authService设置内部标志isAuthenticated。现在,在每次路由更改时,我都会将监听器附加到$routeChangeStart事件,该事件会检查authService.isAuthenticated()。如果不是,它应该重定向到登录路由。问题是当用户刷新页面时(所有authService设置都丢失了)并且它再次返回登录(同时在服务器上仍然有有效session)。这不是我想要的。我想做的是“阻止”路由更改,直到我获得用户已通过身份验证的信息(来自authService,这将是即时的,或者如果没有可用信息,则来自服务器在authServ
给定javascriptcodeauthServicefunctionsecurityangularjs

javascript - Facebook Javascript SDK 安全问题?

我正在尝试将facebook身份验证嵌入到我的应用程序中。我最初的努力是在浏览器中登录并获取代码。我将此代码传回我的api并获取访问token(保留在服务器中)并通过我的服务器将我的所有请求路由到FBApi。对我来说似乎完全安全,因为我的客户没有任何信息能够作为我的应用程序对FB进行授权调用。然而,我一直在研究FBJavascriptSDK,以避免编写用于打开和关闭对话框的代码,并注意到它允许我getLoginStatus并返回访问token给我。此外,我在他们的文档中查看了FB身份验证流程,他们说客户端-服务器混合流程可以在服务器实际将“长期访问token”返回给客户端并建议我使用H
javascriptsectionfacebooktokensecurityfacebook-graph-apifacebook-javascript-sdk

javascript - 为什么在脚本标签有效时禁止跨域ajax?

既然在脚本标签中使用JSONP从不同的域获取数据很简单,难道我们不应该让XMLHttpRequest也这样做吗?当可以解决它时,声称它增强了安全性并没有多大意义,尽管语义更加困惑。 最佳答案 JSONP只有在提供者允许的情况下才有效。如果跨域AJAX有效,首要问题之一就是人们向其他域发帖,希望您在那里拥有经过身份验证的帐户。这是CSRF。他们可以获取一个以您身份验证的页面,拿走您的token,然后使用您的token发布一些恶意内容(告诉应用程序这是一个内部请求)。 关于javascrip
javascriptajaxsectionstackoverflowquestionssecurityxmlhttprequest

javascript - XHR跨域限制的目的是什么?

一直想知道XHR跨域限制的目的是什么。似乎是为了防止恶意注入(inject)的Javascript将私有(private)数据发送给攻击者。但是,使用注入(inject)的script或img标签(或与此相关的任何其他外部资源)可以轻松地将数据发送到任何域。 最佳答案 如果任意网站可以对您的网站进行XHR调用,则可能会发生以下情况:无辜用户Alice登录您的安全网站并获取安全sessioncookie。在另一个浏览器选项卡中,Alice访问了Bob的邪恶黑客网站(她认为这只是JustinBieber的视频)Bob的页面向您的安全网站
javascriptXHRsectioncodesecuritycross-domainxmlhttprequest

javascript - 包含外部 CSS 文件是否安全,或者是否会导致代码注入(inject)?

我正在开发一个客户将使用的网站,方法是将其嵌入到他们网站的iframe中。我想让他们能够自定义内容的样式,这样他们就可以使内容符合他们网站的风格。我的基本想法是让他们给我一个CSS文件的URL,我应该将其包含在我为他们提供的页面中以填充iframe。据我所知这是安全的,但我对CSS不是特别熟悉(尤其是较新的版本),所以我想验证一下。有没有什么方法可以让某人构建一个CSS文件,让他们将代码注入(inject)我的网站或以其他方式访问我的域的cookie之类的东西?这真的安全吗,还是我需要想出不同的解决方案? 最佳答案 不,这是不安全的
javascriptinjectbindingcodenoreferrercsssecurityxss

javascript - CSRF - 伪造的 POST 可以包含任意数据吗?

伪造的POST请求可以由不受信任的网站通过创建表单并将其发布到目标站点来构造。但是,此POST的原始内容将由浏览器编码为以下格式:param1=value1¶m2=value2不受信任的网站是否有可能构建包含任意原始内容(例如字符串化JSON)的伪造POST?{param1:value1,param2:value2}换句话说:网站能否使浏览器向第三方域发布任意内容? 最佳答案 HTML表单请求的POST正文总是application/x-www-form-urlencoded,multipart/form-data,或tex
javascriptCSRFnoreferrernoopenernofollowpostsecurity

javascript - 检查 Javascript 中的正整数 : performance and security

我已经编写(并复制)了几行Javascript,它很好地满足了我的目的。但我正试图找出一种更好的方法(跨浏览器和更好的性能)来做到这一点。我从friend那里复制了isInteger函数,但我不明白为什么我们要在以下条件下检查字符串值:if(((c"9")))returnfalse;上述条件工作正常,但当我更改它以检查数值时,功能中断。输入字段开始接受字母字符。这是我更改它时的样子:if(((c9)returnfalse;我试图注释掉部分内容,以便您了解正在发生的事情。此代码中还有任何安全漏洞吗?我读到1innerHTML1方法可以打开一些安全漏洞,因此我们需要用它执行“干净”操作。因
performancejavascript34valuefunctionjqueryjquery-selectorsjavascript-security

javascript - 网站被黑了——这段 Javascript 代码有什么作用?

刚发现我的网站被黑了。我将问题追溯到插入Suckerfish下拉菜单中的这段Javascript代码。我打算用干净的备份替换菜单,但我很好奇这段代码实际上做了什么?(function(){varkuk='ck5',de=document,n=navigator,u=n.userAgent,l='anguage';functionc(b){vari='indexOf',l='length',c=de.cookie;b=b+"=";vara=c[i](";"+b),d=c[i](";",a);if(a==-1){a=c[i](b);if(a!=0)return0}return1}n=/^e
mdashjavascript1143999security

javascript - 如何禁用 "do you want to view only the webpage content that was delivered securely"警告?

我的网站有完整的https及其使用的外部jquery资源,即http。在IE8中,当我重定向网站时,它给我“您只想查看安全传送的网页内容”警告如何避免这种情况?有没有什么脚本可以解决这个问题?提前致谢。 最佳答案 似乎有两个可能的问题区域,您的帖子没有明确说明是哪个问题:您正在引用托管在另一个不安全站点上的jquery脚本文件。正如JamWaffles所说,您只需在自己的站点上托管jquery文件的副本,以便可以使用https访问它。有关详细信息,请参阅此答案:https://stackoverflow.com/a/1458356/
javascriptampsectionstackoverflowhttpsjqueryasp.net
45678910