Preguntas con etiqueta 'cors'

preguntas con etiqueta
0
respuestas

Certificados de autoridad y dominio VS originales e IP únicas

Descargo de responsabilidad, soy nuevo en InformationSecurity, lo siento si no sigo las reglas tan bien como se esperaba. Pedí esta publicación en stackOverflow, y me sugirieron que la transfiriera aquí Hasta ahora llego: Origen = Esque...
hecha 10.12.2018 - 13:16
1
respuesta

CORS aceptando un origen arbitrario con GET pero no con OPTIONS

Estoy probando una API, que permite un origen arbitrario en las solicitudes POST / GET , respondiendo con el encabezado CORS Access-Control-Allow-Origin: * . Sin embargo, con las solicitudes OPTIONS y un origen arbit...
hecha 03.12.2018 - 13:45
0
respuestas

¿Por qué una solicitud de verificación previa de CORS no causa otra?

Según Documentación de MDN , cada no -simple request está condenado a caer en una recursión infinita: Quiero enviar una solicitud CORS no simple (con el verbo PUT por ejemplo) Mi navegador intenta enviar una solicitud de verifica...
hecha 20.06.2018 - 10:31
3
respuestas

CSRF no funciona en el proxy CORS

Estoy consumiendo los servicios OData de JQuery y me estoy ejecutando en un escenario típico de la misma política de origen. No tengo control sobre el servidor y, por lo tanto, no puedo implementar CORS, por lo que lo único que puedo hacer es us...
hecha 19.05.2017 - 21:19
0
respuestas

En la práctica, ¿se utilizan cookies de terceros en la autenticación? Si están bloqueados, ¿qué es el UX?

Estoy investigando el flujo de autenticación en el caso de que las cookies de terceros se utilicen para autenticar un sitio web y estén bloqueadas por la política, el proxy o la configuración del navegador. Está claro que CORS y varios compl...
hecha 23.01.2017 - 00:12
2
respuestas

¿todos los sitios sin un token CSRF son vulnerables al ataque CSRF?

Encontré una gran cantidad de sitios populares que no tienen el token crsf en el encabezado de la cookie, ¿significa que todos estos sitios son vulnerables? Intenté aprender más sobre eso y descubrí que hay algo llamado CORS que lo protege, p...
hecha 23.06.2018 - 00:48
1
respuesta

¿Es CORS y CSRF-tokens solo para las solicitudes POST y GET? [cerrado]

Tengo las siguientes preguntas con respecto a CSRF, SOP y CORS. ¿Los tokens CSRF solo protegen el envío de formularios con los métodos POST o GET? ¿Es esto solo una "práctica común" (en relación con el hecho de que solo los envíos de formul...
hecha 14.05.2018 - 11:43
1
respuesta

Verifique si hay configuraciones de CORS inseguras con cURL

Estoy tratando de verificar la configuración de CORS de un sitio web usando cURL. El siguiente comando debería permitirme verificar si la configuración de CORS puede considerarse segura o si se pueden realizar solicitudes a través de los orígene...
hecha 15.11.2017 - 16:20
1
respuesta

Política de origen y tokens CSRF

Si confiamos en los navegadores de que cumplen con la Política del mismo origen sin errores, ¿seguiríamos necesitando los tokens CSRF? Suponiendo que el servidor no tiene CORS habilitado: Por lo que sé, no se nos permite realizar solicitudes...
hecha 20.03.2017 - 09:20
2
respuestas

Configuración de Access-Control-Allow-Origin: * cuando los identificadores de sesión se insertan en los encabezados HTTP

¿Se considera seguro que una aplicación establezca un encabezado access-control-allow-origin: * si durante el uso normal de la aplicación, las credenciales del cliente se insertan en los encabezados mediante el código JS? Por ejemplo: G...
hecha 11.04.2017 - 10:20