Preguntas con etiqueta 'same-origin-policy'

2
respuestas

¿Por qué los navegadores aplican la política de seguridad del mismo origen en los iframes?

Hoy hice una pequeña prueba en Chrome (V37). Creé una pequeña página y la cargué en el navegador: <!DOCTYPE html> <html> <head> <title>Untitled Document</title> </head> <body> <p>Normal p...
hecha 22.09.2014 - 06:58
2
respuestas

¿Por qué es necesario el encabezado Access-Control-Allow-Origin?

Entiendo el propósito de Access-Control-Allow-Credentials encabezado , pero no puede ver qué problema resuelve el encabezado Access-Control-Allow-Origin . Más precisamente, es fácil ver cómo, si las solicitudes AJAX entre domini...
hecha 10.10.2013 - 19:11
3
respuestas

¿Por qué los navegadores no bloquean las POST entre sitios de forma predeterminada?

La política de mismo origen (SOP) hace que los navegadores bloqueen las secuencias de comandos de un origen para confundirlas con otras, a menos que se le indique explícitamente que no lo haga. Sin embargo, los POST entre sitios aún están permit...
hecha 18.04.2018 - 13:39
2
respuestas

Uso de iframes para el código no confiable de sandbox

Estoy tratando de crear una plataforma extensible, donde mi sitio proporcionará un modelo y algunas vistas (tanto del lado del cliente, en el navegador) como las de terceros también pueden agregar sus propias vistas. El objetivo aquí es que solo...
hecha 19.05.2012 - 02:57
3
respuestas

¿Cuál es el punto de la regla del mismo dominio para xmlhttprequest cuando las etiquetas de script / JSONP pueden cruzar dominios?

Entiendo que no quiero que se cargue una página de stackoverflow.com para poder solicitar gmail.com en mi nombre y leer mi correo electrónico, pero esto parece ser simplemente un problema de cookies. Ya que JSONP omite por completo el mismo o...
hecha 23.03.2012 - 02:12
2
respuestas

¿Por qué la falta de la cookie "SameSite" marca un riesgo?

Las cookies de hoy en día pueden tener marcas HTTPOnly, Secure y SameSite. Los propósitos de HTTPOnly y Secure flags son bastante claros. Pero, ¿qué impide exactamente y cómo lo hacen los scripts de SameSite? Además, ¿cómo se vería un escenar...
hecha 16.03.2017 - 21:51
1
respuesta

¿Por qué las solicitudes Ajax son vulnerables a los ataques CSRF si se aplica la política del mismo origen?

Lo que sé sobre CSRF es que un sitio web malicioso engaña a un usuario normal para que envíe una solicitud a un sitio web de confianza mediante un formulario. Entiendo que es posible porque podemos publicar formularios en diferentes dominios....
hecha 26.05.2014 - 16:46
1
respuesta

protección de la ruta de las cookies dentro del mismo dominio

La respuesta a esta pregunta acerca de cómo las cookies son potencialmente vulnerables entre subdominios despertó mi curiosidad. Por lo que sé, si una cookie está configurada en una subruta del mismo dominio ( www.example.com/dogs ),...
hecha 05.03.2012 - 19:56
1
respuesta

¿Cómo puedo incrustar iframe de forma segura sin restringir su funcionalidad?

Me gustaría incrustar un iframe desde un sitio que no sea de confianza en la aplicación web. Iframe: debería poder ejecutar Javascript y los complementos del navegador (Flash, etc.) no debería poder acceder a mi aplicación web a través de...
hecha 21.12.2012 - 14:47
3
respuestas

¿Los navegadores permiten que las páginas cargadas en una pestaña accedan / intercepten / inyecten datos en otras pestañas?

Me sorprendió saber de este video de Reuters que era posible para una página cargada en una pestaña para acceder y / o inyectar datos en otra página cargada en una pestaña diferente. TL; DW (demasiado perezoso; no vio) El entrevistado en...
hecha 06.07.2012 - 16:19