Preguntas con etiqueta 'cors'

preguntas con etiqueta
0
respuestas

Configurar Access-Control-Allow-Origin para clientes con origen: null

Desarrollo una aplicación web. Cuando ejecuto la aplicación en Android, el origen en el encabezado de una solicitud de red es null . Access-Control-Allow-Origin en el encabezado de la respuesta también es null , porque el origen del...
hecha 28.03.2018 - 15:39
2
respuestas

document.cookie y su alcance

Hay alguna confusión básica que tengo. Una víctima no sospechosa visita un sitio web vulnerable, vulnerable.com e inicia sesión allí. vulnerable.com , inicio de sesión posterior, envía una respuesta que tiene el siguiente conjun...
hecha 09.09.2016 - 14:09
2
respuestas

encabezado de origen personalizado para omitir la protección CORS contra CSRF

CORS (intercambio de recursos de origen cruzado) puede usarse para proteger las aplicaciones web de CSRF. Antes de aceptar una solicitud, el servidor verifica que el host especificado en el encabezado Origin esté entre los hosts permitidos en...
hecha 13.09.2017 - 16:42
1
respuesta

¿Es un riesgo de seguridad que los navegadores puedan obtener imágenes (y / u otros recursos) de forma cruzada entre dominios?

La misma política de origen nos protege del sitio malintencionado que manipula los datos en nuestro sitio de confianza al no permitir solicitudes que envíen la cookie de autenticación, por ejemplo. Pero si entiendo correctamente, las imágenes, l...
hecha 27.10.2016 - 10:58
3
respuestas

¿Debo restringir el origen en una aplicación API?

Tengo una aplicación que sirve una API de descanso y una interfaz de usuario angular para ella. Los clientes pueden usar la API directamente o usar la interfaz de usuario (si el cliente es un humano). La aplicación debe devolver encabezados e...
hecha 13.01.2017 - 22:57
1
respuesta

OAuth2 Flujo implícito: ¿Posibles vectores de ataque de token de actualización a través de CORS?

Actualmente estamos implementando una aplicación de una sola página (Angular2) y, por lo tanto, nos hemos encontrado con el problema estándar de "cómo asegurar nuestra API de backend". Aparentemente, la solución estándar para esto es utilizar...
hecha 01.12.2016 - 16:34
1
respuesta

Access-Control-Allow-Origin sin AJAX

Esta respuesta (¿de forma incorrecta?) indica    No, siempre que CORS Access-Control-Allow-Origin esté en su valor restrictivo predeterminado. Esto evita que el sitio web externo acceda al sitio enmarcado a través de Javascript / etc. S...
hecha 06.11.2013 - 11:42
1
respuesta

El control de acceso permite la eficiencia de protección del navegador de origen

Estaba creando un sitio web a modo de experimento e intenté usar algunas solicitudes ajax para diferentes sitios. En algunos sitios obtendré un error:    XMLHttpRequest no puede cargar enlace No   El encabezado 'Access-Control-Allow-Origin'...
hecha 05.07.2016 - 01:14
1
respuesta

BeEF XSS - trabajo interno

Estoy estudiando BeEf XSS ya que creo que es una herramienta muy interesante para un probador de penetración, pero tengo algunas dudas al respecto, en particular al vincularlo con la Solicitud de dominio cruzado. Por lo tanto, de alguna maner...
hecha 18.04.2018 - 11:02
0
respuestas

¿Cuáles son las consideraciones de diseño detrás de la exención de WebSockets del SOP?

Me sorprendió bastante que en mis experimentos, simplemente pudiera conectarme desde un sitio web a un servidor WebSocket en un par de dominio / puerto diferente. Investigaciones posteriores demostraron repetidamente que WebSockets no está inclu...
hecha 20.06.2018 - 15:26