Preguntas con etiqueta 'ajax'

6
respuestas

¿La inyección de valores de cadena de consulta directamente en HTML supone un riesgo para la seguridad?

Alguien informó de un error en mi sitio que realmente no considero un problema. Mi sitio tiene una URL similar a esta: www.site.com/ajax/ads.asp?callback=[text injection] Por lo tanto, el tipo de archivo es application / json, y no veo cómo...
hecha 14.12.2014 - 22:06
3
respuestas

¿Riesgos de seguridad con JSONP?

¿Cuáles son los riesgos de seguridad con JSONP ? ¿Es razonable usar JSONP en una nueva aplicación web, desde una perspectiva de seguridad, o es mejor usar un método diferente para los mashups web de origen cruzado? Si usar JSONP es razonable...
hecha 31.10.2012 - 17:39
3
respuestas

¿Cuál es el punto de la regla del mismo dominio para xmlhttprequest cuando las etiquetas de script / JSONP pueden cruzar dominios?

Entiendo que no quiero que se cargue una página de stackoverflow.com para poder solicitar gmail.com en mi nombre y leer mi correo electrónico, pero esto parece ser simplemente un problema de cookies. Ya que JSONP omite por completo el mismo o...
hecha 23.03.2012 - 02:12
4
respuestas

¿Es AJAX fundamentalmente inseguro?

En mi lugar de trabajo, muchas personas creen que AJAX es fundamentalmente inseguro. Tengo la impresión de que AJAX es exactamente tan seguro como cualquier otra carga de página, depende de cómo codifique la llamada / página. ¿Existe un e...
hecha 09.03.2011 - 15:23
2
respuestas

¿Cómo hacer Ajax de forma segura?

Esta pregunta está inspirada en esta pregunta de seguridad enlace ¿Cuáles son las amenazas al usar Ajax? (Tenga en cuenta que estoy hablando de amenazas de seguridad, no de inconvenientes) ¿Cómo hago Ajax de forma segura? (Por favor, pro...
hecha 10.02.2011 - 20:06
1
respuesta

¿Por qué las solicitudes Ajax son vulnerables a los ataques CSRF si se aplica la política del mismo origen?

Lo que sé sobre CSRF es que un sitio web malicioso engaña a un usuario normal para que envíe una solicitud a un sitio web de confianza mediante un formulario. Entiendo que es posible porque podemos publicar formularios en diferentes dominios....
hecha 26.05.2014 - 16:46
1
respuesta

¿Puede un sitio web realizar una solicitud HTTP a "localhost"? ¿Cómo hace para eludir la política de dominios cruzados?

Encontré este sitio web que habla sobre cómo corregir una vulnerabilidad de Redis al explotando esa misma vulnerabilidad. El sitio web en cuestión tiene un botón "parcharme" y, si tiene un servidor Redis sin contraseña en ejecución en su má...
hecha 19.06.2015 - 15:27
3
respuestas

¿Cómo puedo evitar el XSS reflejado en mis servicios web JSON?

Tengo un servicio web que toma datos POST (JSON) y devuelve parte del objeto de solicitud en la respuesta JSON. Esto está abierto a XSS si la respuesta es representada como HTML por el navegador, ya que alguien podría agregar HTML arbitrario...
hecha 20.09.2012 - 04:25
1
respuesta

¿Debo incluir un relleno aleatorio en cada solicitud y respuesta de HTTPS?

Según el siguiente documento, es posible descifrar el tráfico HTTPS inspeccionando las llamadas AJAX y utilizando el parámetro de tamaño como un oráculo criptográfico.    ¿Debo enviar una carga útil de longitud variable junto con cada GET...
hecha 30.09.2011 - 03:19
1
respuesta

¿Desventajas de almacenar un token de autenticación en el lado del cliente?

Estoy trabajando en una aplicación web ASP.NET MVC, que recupera sus datos de una API en la parte posterior. Por lo tanto, la autenticación se realiza actualmente a través de la autenticación de formularios ASP.NET, lo que significa que el clien...
hecha 04.04.2013 - 11:28