Preguntas con etiqueta 'ajax'

preguntas con etiqueta
2
respuestas

¿La protección CSRF es inútil con AJAX?

He hecho una pregunta con respecto a una implementación de ASP.NET WebAPI de protección CSRF: enlace Aunque hay una respuesta que dice que, con las políticas CORS predeterminadas, ese tipo de validación de token XSRF con llamadas AJAX es...
hecha 08.08.2017 - 15:15
2
respuestas

¿El ASM Big-IP de F5 puede proteger contra CSRF para llamadas AJAX?

Sé que el ASM Big-Ip de F5 ofrece protección contra CSRF con respecto a enlaces y formularios. Sin embargo, cuando se trata de llamadas AJAX, su documentación es algo ambigua. Entiendo que NO son compatibles con CSRF en el contexto de las lla...
hecha 08.01.2016 - 14:56
2
respuestas

XMLHttpRequest CSRF falla con CORS permitido

Actualmente estoy trabajando en un PoC para un ataque CSRF, que debería ser posible debido a la configuración CORS laxa. Tengo permiso para atacar. Ahora el siguiente código debe enviar una solicitud de OPCIONES, que incluye todos los detalle...
hecha 21.09.2018 - 09:36
2
respuestas

Javascript / Ajax Hijacking

Me preguntaba si debajo de las solicitudes GET de un archivo HTML y un archivo javascript, ¿son vulnerables al secuestro de AJAX / secuestro de JavaScript? Secuestro AJAX: enlace Secuestro de JavaScript: enlace 1)...
hecha 22.09.2015 - 18:06
1
respuesta

Autenticación de certificado con la función ajax () de jQuery's

Necesito sincronizar con mi servidor con el certificado de cliente abc.pfx que genera el servidor usando Ajax. ¿Cómo envío mi certificado con objeto Ajax? ¿Puedo realizar esta autenticación de certificado con JavaScript?     
hecha 15.05.2013 - 07:06
1
respuesta

Escoger un algoritmo de cifrado para tokens de autenticación pasados a través de AJAX

Estoy buscando un algoritmo de cifrado con un uso intensivo de la CPU, para pasar los tokens de autenticación de sesión. Como ejemplo: El usuario iniciará sesión en el sitio web (a través de OAuth, ya sea por el sitio como proveedor o un...
hecha 04.02.2013 - 14:16
2
respuestas

División de respuesta HTTP

¿Es esto aparte de un ataque de división de respuesta HTTP? A continuación, se incluye un código que se coloca en un navegador web después de borrar la url mientras se encuentra en el sitio web javascript: var xhr = new XMLHttpRequest(); xhr.o...
hecha 18.01.2013 - 11:44
1
respuesta

Bloqueo de acceso directo a la fuente ajax

Hice una calculadora. Quiero evitar que las personas puedan usar ajax.php para obtener los resultados sin acceder a la página web. Tienen que usar la API para ese propósito. Supongo que puedo agregar una clave (marca de tiempo codificada con...
hecha 22.06.2012 - 01:20
1
respuesta

¿Es posible enviar cookies desde un servidor de terceros al navegador utilizando CORS?

ACTUALIZADO DE LA ÚLTIMA PREGUNTA CON MÁS DETALLES Estoy creando una aplicación javascript completa a partir de la API de Salesforce.com sin un script del lado del servidor que se alojará en el dominio de salesforce.com (https) Esta apli...
hecha 16.08.2018 - 19:29
1
respuesta

cookies Django, ajax y HttpOnly

Mientras leía "Web enredada" encontré una descripción de las cookies http solo y quería probarla en mi proyecto, así que agregué estas configuraciones de acuerdo con docs : CSRF_COOKIE_HTTPONLY = True SESSION_COOKIE_HTTPONLY = True Y fui a...
hecha 20.02.2018 - 00:06