Preguntas con etiqueta 'javascript'

preguntas con etiqueta
1
respuesta

Identificar de forma segura a los clientes mediante la aplicación web

Tengo un servicio web S que proporciona ciertos servicios. Hay dos aplicaciones web, A1 y A2, ambas en diferentes servidores dentro de la misma VPN, en las que confío y deseo otorgar acceso a mi servicio web. +------+ HTTPS +-----+ H...
hecha 12.02.2015 - 08:45
1
respuesta

¿Se puede usar un filtro de servlet de Java para extraer scripts que no están en la lista blanca?

Podría estar haciendo una pregunta similar a esta: Lista blanca de elementos DOM para derrotar XSS Pero creo que mi solución propuesta es diferente y me preguntaba si podría hacer que la comunidad comentara si puede ser una forma efectiva d...
hecha 25.01.2014 - 01:17
1
respuesta

spoofing del encabezado de Access-Control-Allow-Origin?

¿Es posible que un atacante falsifique el encabezado de Access-Control-Allow-Origin? O, ¿es lo suficientemente seguro para proteger el acceso a los recursos a través del encabezado Access-Control-Allow-Origin? Estoy intentando hacer que un...
hecha 28.11.2013 - 23:00
1
respuesta

Vulnerabilidad de Newline XSS

Entonces, estaba experimentando con XSS usando el carácter de nueva línea (% 0A). Así que llegué al vector habitual: '% 0Aalert (/ xss /) // y una cosa vino a mi mente. ¿Qué pasa si no puedes insertar una cotización? Una nueva línea romperá l...
hecha 06.03.2013 - 21:51
2
respuestas

¿Cómo defenderse contra UTF7 / 8 no válido que oculta una etiqueta de script?

Escaneo HTML antes de que llegue a un navegador, y acabo de enterarme de un tipo de exploit que usa secuencias UTF7 o UTF8 no válidas para incrustar una etiqueta script que de otra forma sería invisible, que se usa para ejecutar código arbitra...
hecha 27.06.2012 - 19:46
2
respuestas

Uso de SessionStorage para cierta información del usuario

Tengo una aplicación que actualmente mantiene algunas propiedades del perfil de un usuario en el almacenamiento de la sesión para que la aplicación la use cuando sea necesario. No mantenemos datos confidenciales como nombre de usuario o contrase...
hecha 12.11.2018 - 14:09
1
respuesta

¿Cómo permitir scripts de forma segura pero evitando XSS?

Estamos tratando de encontrar la mejor manera de permitir JavaScript en una aplicación web mientras nos protegemos contra XSS. Los administradores del sitio tienen el privilegio de insertar JavaScript para controlar las plantillas del sitio y...
hecha 06.11.2018 - 01:01
2
respuestas

Privacidad y carga de archivos

¿Los sitios web pueden ver la estructura de directorios de su computadora cuando carga archivos a través de formularios web (especialmente JavaScript)? Si es así, ¿cuáles son las formas de evitar esto al subir?     
hecha 27.07.2017 - 13:56
0
respuestas

MongoDB sin inyección, cadena de escape

Estoy intentando escapar de la consulta de cadena en una aplicación web basada en pymongo y mongodb. Puedo obtener los nombres de la colección, pero no puedo mostrar el contenido de la misma, ya que estoy insertando la cláusula where. Tal vez pu...
hecha 20.11.2016 - 14:06
1
respuesta

Cifrado del lado del cliente usando una clave pública

Mi situación: La contraseña de inicio de sesión de una solicitud POST se deja en la memoria del navegador en texto claro siempre que no se borre la memoria caché (manualmente / cierre del navegador). La conexión es HTTPS. Posible so...
hecha 22.04.2016 - 22:57