Preguntas con etiqueta 'json'

1
respuesta

¿Se puede extender este self-XSS?

Tengo un cuadro de texto que realiza una llamada a una API cada vez que el texto ha cambiado. La API devuelve JSON pero ejecuta cualquier Javascript dentro del JSON devuelto (probado con Alert ()). El valor de este cuadro de texto no es persiste...
hecha 23.11.2016 - 17:42
1
respuesta

¿Devuelve Access-Control-Allow-Origin: * debilita la seguridad de las respuestas JSON GET?

La recomendación CORS del W3C dice:    Ciertos tipos de recursos no deben intentar especificar   determinados orígenes autorizados, sino que denegar o permitir   Todos los orígenes.       ...       3. Una respuesta GET cuyo cuerpo de enti...
hecha 16.10.2013 - 12:23
2
respuestas

JavaScript eval () para analizar JSON después de la desinfección con expresiones regulares. ¿Es posible XSS?

¿Es posible omitir mi expresión regular y ejecutar cualquier JavaScript? <script> function json(a){ if (/^\s*$/.test(a) ? 0 : /^[\],:{}\s\u2028\u2029]*$/.test(a.replace(/\["\\/bfnrtu]/g, "@").replace(/"[^"\\n\r\u2028\u2029\x00...
hecha 06.02.2013 - 07:41
1
respuesta

Pasando el código PHP directamente a JavaScript en HTML5

Quiero pasar una cadena de PHP directamente a una variable de JavaScript y mantener la carga en el servidor al mínimo. Tengo el siguiente JavaScript en un archivo PHP para hacer esto: <!DOCTYPE html> <html> ... <body> <se...
hecha 16.12.2017 - 23:52
0
respuestas

¿Hay una buena manera de almacenar tokens OAuth2 para una aplicación nativa?

Actualmente tengo una aplicación de PC nativa que crea y carga una configuración en un dispositivo Linux incorporado (es decir, el cliente). Este dispositivo se conecta a Google Calendar a través de su API OAuth2. La configuración requiere:...
hecha 22.12.2017 - 05:32
3
respuestas

XSS: Tipo de contenido: aplicación / json

Información de fondo - La aplicación responde a la solicitud a una URL en particular con content-type: application/json La respuesta JSON contiene un parámetro de la solicitud Escapa de la cita con una barra inclinada No hace una...
hecha 16.04.2012 - 15:59
1
respuesta

¿Cómo se implementa JWT?

Estoy usando django-rest-framework-jwt en una de mis API. Como sabrás, el concepto es simple: envías un nombre de usuario y contraseña y recibes un token. El token no se almacena en ningún lugar del servidor. Al enviar el token en el encabe...
hecha 26.03.2015 - 23:57
1
respuesta

¿Qué tan seguro es el HMAC?

Estoy construyendo una API sin estado RESTful y estoy usando un token para la autenticación. El problema que tengo es que no estoy seguro de qué tan seguro es HMAC. Estoy usando una biblioteca token web JSON que permite cifrar y descifrar l...
hecha 14.10.2014 - 19:45
1
respuesta

¿Hay algún beneficio de usar JWT sin estado sobre hash SHA256 para tokens de API?

¿Tiene sentido usar JWT sin estado (sin almacenamiento persistente) sobre SHA256 simple? Escenario de ejemplo: El usuario inicia sesión El token de usuario se genera de la siguiente manera: a. JWT.encode (ID de usuario, 'secreto')...
hecha 07.05.2015 - 22:19
3
respuestas

ADFS 2012 R2 (3.0) Validación del token web JSON

Nuestro cliente desea que utilicemos ADFS 2012 R2 (también conocido como 3.0) como el medio principal para dos características de seguridad en las aplicaciones internas que estamos creando: La aplicación web (hay dos .NET y amp; Angular) y u...
hecha 26.01.2015 - 21:11