Preguntas con etiqueta 'ajax'

preguntas con etiqueta
2
respuestas

¿Es adecuado un token CSRF por sesión con HTTPS?

La nuestra es una aplicación pesada de Ajax con solicitudes concurrentes de Ajax. La generación de tokens únicos con cada solicitud o caducidad y la creación de nuevos tokens después de un cierto intervalo podría complicarse con varias solicitud...
hecha 03.01.2013 - 08:14
2
respuestas

Inconvenientes de seguridad para usar el token de acceso de corta duración en el lado del cliente javascript

Tengo la intención de crear un sitio front-end completamente en javascript (NodeJS) y me gustaría hacer llamadas ajax a un REST WS que se encuentra en otro dominio en el lado del cliente. Tengo la intención de usar auth2 y SSL para asegurar m...
hecha 09.04.2012 - 23:45
4
respuestas

Protegerse contra CSRF cuando se envía un formulario a través de una llamada AJAX

Estoy utilizando tokens anti-CSRF en todos mis formularios para evitar ataques CSRF. Además, los tokens se guardan en la variable $ _COOKIE para validar el valor que obtengo del formulario. Estoy restableciendo el token cada vez que se carga un...
hecha 10.09.2012 - 22:59
3
respuestas

¿Cómo se correlaciona CSRF con la política del mismo origen?

Estoy tratando de entender qué roles desempeñan CSRF y el mismo origen en el gran esquema de las cosas. Con CSRF, puedo hacer prácticamente cualquier cosa en otros sitios web de clientes al realizar solicitudes. La Política de Origen del Mismo (...
hecha 10.04.2017 - 07:14
2
respuestas

¿Es una llamada AJAX menos segura que el método POST normal?

Actualmente tengo un formulario de inicio de sesión estándar como este: <?php if( isset( $_POST['username], $_POST['password'] ) ) { // escape both strings and compare them to database } ?> <form action="" method="post"> &...
hecha 17.04.2018 - 13:25
4
respuestas

¿Cómo evitar que otros sitios web envíen solicitudes AJAX de dominio cruzado?

Desde dos aplicaciones diferentes, pude enviar solicitudes de origen cruzado. Aunque el navegador devuelve un error de "origen cruzado", mi servidor todavía está recibiendo y ejecutando la solicitud. Por ejemplo, desde un sitio remoto puedo invo...
hecha 24.10.2013 - 20:19
3
respuestas

¿Qué propósito tiene Access-Control-Allow-Origin?

Tengo un malentendido con respecto al encabezado Access-Control-Allow-Origin de CORS. Su nombre dice "permitir", y entiendo que si hago una solicitud desde un "Origen" que no está permitido, la solicitud debe fallar. Pero siempre pu...
hecha 14.04.2016 - 17:07
3
respuestas

¿Usar GET para enviar un nombre de usuario / contraseña? [duplicar]

Por lo que entiendo, usar GET para enviar nombres de usuario / contraseñas es un problema de seguridad porque el nombre de usuario / contraseña son parte de la URL que puede aparecer en el historial del navegador. ¿Esto sigue siendo un prob...
hecha 07.10.2013 - 18:29
1
respuesta

XSS a través de la modificación de un valor de elemento UI?

Envío una solicitud de AJAX y cuando el HTML se vuelve a cargar, recupero los valores de algunos elementos de la IU en el lado del cliente y se los presento al usuario, de este modo: var displ="<h1>"+$( "#myslider" ).slider( "values", 0)...
hecha 12.10.2015 - 20:46
1
respuesta

Buscando todos los puntos de entrada AJAX

¿Existe alguna herramienta para (automáticamente) encontrar todos los puntos de entrada de JavaScript de back-end dentro de un sitio? Tengo que revisar las vulnerabilidades de un sitio en el código de backend que valida los parámetros AJAX y...
hecha 01.02.2013 - 17:43