Preguntas con etiqueta 'same-origin-policy'

preguntas con etiqueta
3
respuestas

Recibo de lectura por correo electrónico a través de XSS

Recientemente me topé con una forma realmente tonta / insegura pero interesante para obtener un recibo de lectura de un correo electrónico. No estoy 100% seguro de que el método en uso funcione, razón por la cual lo pregunto aquí. G-mail no t...
hecha 10.10.2012 - 15:28
1
respuesta

¿Por qué un "lienzo contaminado" es un riesgo?

Comprendo la preocupación por un lienzo contaminado: la idea de que los bits de una imagen de otro sitio pueden enviarse de nuevo a un servidor malintencionado. Pero, ¿puedes explicar los detalles de cómo funciona exactamente esto? Supongamos...
hecha 09.02.2018 - 03:05
2
respuestas

Subdominios específicos del usuario: seguridad de JavaScript

Si proporciono un sitio web público para los usuarios en mi sitio web en su propio subdominio (por ejemplo, bob.myapp.com ) bajo su propio control, ¿puedo permitir que ejecuten JavaScript arbitrario sin poner en riesgo mi servidor de aplic...
hecha 25.10.2012 - 20:17
1
respuesta

Seguridad sobre window.opener y iframes

Tengo 3 dominios: domainA domainB domainC Si configuro target="_blank" en domainA con un enlace a domainC , domainC puede acceder a un grupo de propiedades de domainA . Es por eso que uso target="_bl...
hecha 03.12.2016 - 13:20
2
respuestas

¿Mejores prácticas para integrar javascript externo?

Estoy buscando algunos consejos estándar sobre cómo integrar JavaScript externo en un sitio web. Por ejemplo, en mywebsite.com : <script src='//externalsite.com/js/script.js'></script> La cosa es: si externalsite.com...
hecha 28.05.2013 - 17:56
1
respuesta

Verificación hash iFrame secundaria del contenido iFrame principal

Considere el siguiente escenario: Alice desea navegar por el sitio web de Victor mientras trabaja en Initech. El sitio web de Victor está alojado en un sistema de nombres de dominio alternativo al que el DNS de Initech no se compara. Eve (que...
hecha 05.09.2013 - 01:17
1
respuesta

Por qué el JS de CSRF no puede leer el token GETting html

1) El usuario está registrado en bank.com en una pestaña, donde todo está protegido por tokens CSRF. Luego abre evil.com en otra pestaña. 2) Javascript en evil.com podría intentar realizar una solicitud POST a bank.com/send_money solo si supi...
hecha 27.06.2014 - 12:54
1
respuesta

Alternativa a los tokens anti-CSRF para solicitud AJAX (Política del mismo origen)

Estoy trabajando en un sitio web PHP completamente basado en AJAX (a través de jQuery). Es una página única en la que AJAX realiza todas las solicitudes. En relación con la protección contra CSRF, he encontrado el problema de tener que inclui...
hecha 12.12.2015 - 00:13
1
respuesta

¿Política del mismo origen para el archivo: URL en el navegador de Android?

Cuando carga una URL file:// en una vista web de Android o en el navegador de Android, ¿qué trata como origen? ¿A qué puede acceder el Javascript en esa página? ¿Puede acceder a otros archivos en el mismo directorio? ¿Otros archivos en ot...
hecha 07.12.2012 - 19:49
3
respuestas

¿Por qué no bloquea las mismas políticas de origen las solicitudes que contienen argumentos?

Por lo que entiendo, la misma política de origen evita que los scripts en una página web hablen con servidores fuera del dominio actual (usando post, xmlhttprequest, etc.). Supuse que las solicitudes de obtención (con argumentos) entre dominios...
hecha 18.06.2012 - 22:42