Preguntas con etiqueta 'crossdomain'

1
respuesta

¿Cuáles son las implicaciones de seguridad de habilitar CORS para imágenes?

La empresa para la que trabajo ejecuta un servidor de fotos de perfil de usuario. Me gustaría buscar, modificar visualmente (agregar un desenfoque, algunos efectos, etc.) y mostrar esas imágenes en <canvas> . El problema es que el se...
hecha 27.05.2016 - 18:09
1
respuesta

¿Cómo implementar SSO de inicio de sesión cruzado entre dominios y dominios sin redireccionamientos de navegador para usuarios no registrados?

Necesito implementar una solución SSO con los siguientes requisitos: Dominio cruzado: Supongamos que tengo a.com , b.com y sso.com . Si me conecto a través de a.com , no debería tener que iniciar sesión cuando visi...
hecha 18.12.2017 - 17:56
1
respuesta

¿Cómo verificar si hay fugas de referencia entre dominios?

Estoy aprendiendo pruebas de lápiz en aplicaciones web. Me pareció muy interesante la vulnerabilidad fuga de referencias entre dominios . ¿Alguien puede decirme cómo verificar esta vulnerabilidad en cualquier aplicación web?     
hecha 12.07.2016 - 14:52
0
respuestas

Pregunta de intercambio de recursos de origen cruzado

Tengo una maqueta html / javascript en mi escritorio, hice una llamada ajax GET para: enlace y obtuve 200 OK con resultados. Pero me di cuenta de que el encabezado de aceptación era: Access-Control-Allow-Origin: enlace cuando se usa...
hecha 20.03.2015 - 14:49
3
respuestas

Acceso a API de terceros: ¿Realmente se requiere OAuth?

Al tener una aplicación web con una API REST (por ejemplo, our-app.com), queremos abrir nuestra API a aplicaciones web de terceros (por ejemplo, their-app.com). Después de algunas investigaciones, después de haber leído sobre OAuth, OpenID Con...
hecha 25.03.2016 - 19:38
1
respuesta

Aplicación de una sola página con backend API REST basada en XML, consultada por XPath dinámico

Una aplicación web que estoy desarrollando será una aplicación de una sola página (SPA) que interactuará con un backend API REST, a través de jQuery.ajax() calls. El SPA y la API se servirán a través de una conexión https / TLS. La API...
hecha 02.05.2016 - 20:42
1
respuesta

¿Es válido un ticket de Kerberos con solo una confianza externa unidireccional entre dominios?

La situación es que tengo dos dominios (Dominio A y Dominio B) que viven en redes separadas. Necesito permitir que los usuarios en B se autentiquen con la autenticación de Windows integrada (IWA) cuando llegan a una aplicación web implementada e...
hecha 28.06.2016 - 22:42
2
respuestas

¿Un archivo crossdomain.xml reducirá el riesgo potencial de seguridad?

Mantengo un sitio web donde los usuarios pueden subir archivos. Ya estoy haciendo algunas buenas comprobaciones MIME, comprobaciones de coherencia, comprobaciones de virus, listas negras basadas en listas hash, otras comprobaciones personalizada...
hecha 22.04.2015 - 19:36
1
respuesta

Extensión de Chrome: solicitud de origen cruzado

¿Las extensiones de Chrome pueden realizar solicitudes de origen cruzado inyectando un javascript en la página principal? Si es así, ¿no es una vulnerabilidad de seguridad? Scripts de contenido de Google Chrome Solicitudes de origen cru...
hecha 19.12.2016 - 22:27
1
respuesta

El control de acceso permite la eficiencia de protección del navegador de origen

Estaba creando un sitio web a modo de experimento e intenté usar algunas solicitudes ajax para diferentes sitios. En algunos sitios obtendré un error:    XMLHttpRequest no puede cargar enlace No   El encabezado 'Access-Control-Allow-Origin'...
hecha 05.07.2016 - 01:14