Preguntas con etiqueta 'same-origin-policy'

preguntas con etiqueta
1
respuesta

¿Por qué se permite que una ventana secundaria cambie la ubicación de su padre?

Tal vez una pregunta tonta. Al abrir una nueva pestaña a través de target="_blank" , la página que se carga en esa pestaña puede establecer una nueva ubicación en la pestaña principal mediante: window.opener.location.replace('http://www....
hecha 20.01.2015 - 15:24
3
respuestas

Política del mismo origen - Respuesta XHR

Sé que la Política del mismo origen (SOP) impide que una página / secuencia de comandos de un origen a lea la respuesta de otro origen, pero no impide que la página / secuencia de comandos realice una consulta XMLHttpRequest (XHR) Solicitud a...
hecha 24.04.2015 - 02:17
1
respuesta

¿Devuelve Access-Control-Allow-Origin: * debilita la seguridad de las respuestas JSON GET?

La recomendación CORS del W3C dice:    Ciertos tipos de recursos no deben intentar especificar   determinados orígenes autorizados, sino que denegar o permitir   Todos los orígenes.       ...       3. Una respuesta GET cuyo cuerpo de enti...
hecha 16.10.2013 - 12:23
3
respuestas

¿Cómo se correlaciona CSRF con la política del mismo origen?

Estoy tratando de entender qué roles desempeñan CSRF y el mismo origen en el gran esquema de las cosas. Con CSRF, puedo hacer prácticamente cualquier cosa en otros sitios web de clientes al realizar solicitudes. La Política de Origen del Mismo (...
hecha 10.04.2017 - 07:14
2
respuestas

¿Cómo la vulnerabilidad originada en Facebook Origin de Access-Control-Allow-Origin: null permitió el acceso de origen cruzado?

Recientemente, se corrigió y reveló una vulnerabilidad en la aplicación de mensajería de Facebook que permitía a los ataques acceder a los mensajes privados de los usuarios a través de AJAX de origen cruzado.    Un error simple permite a los...
hecha 14.12.2016 - 21:33
1
respuesta

¿Son necesarias políticas restrictivas del mismo origen?

La pregunta es para que la comunidad de seguridad resuelva algunos malentendidos aquí . El quid: La compañía (Wire) tiene un cliente (official-client.com) y un código de servidor (por ejemplo, official-server.com). CORS actualmente per...
hecha 16.02.2018 - 17:56
1
respuesta

Acceso entre sitios del lado del cliente en un entorno SSL: ¿cuándo es posible hacerlo?

Estoy tratando de imaginar un entorno seguro de espacio aislado para una aplicación que es grande e inexplorada, y puede contener puertas traseras. Viviría en un entorno chroot / virtual sin conexiones salientes habilitadas, y todas las conexion...
hecha 10.08.2012 - 17:18
1
respuesta

¿Las solicitudes de 'conocimiento cero' serían una extensión segura de SOP / CORS?

Según tengo entendido, existe la Política del mismo origen para evitar solicitudes autenticadas de otros orígenes. Entonces, cuando un malvado construye un sitio web malvado que intenta secuestrar la autenticación activa de mis clientes para...
hecha 15.12.2016 - 15:18
2
respuestas

¿Cómo uso CORS correctamente con OpenID Connect?

Parece que hay una serie de preguntas en varios blogs, sitios de Q & A y comentarios que plantean variantes de la pregunta:    ¿Cómo uso CORS correctamente con OpenID Connect? El contexto de estas preguntas generalmente se aplica a un...
hecha 09.02.2017 - 16:07
4
respuestas

sobre CSRF en el formulario enviar [duplicar]

Seguramente me estoy perdiendo algo en la imagen de cómo funcionan los ataques y protecciones de CSRF. Mi entendimiento en un escenario de envío de formularios es que la protección se basa en un token impredecible, de alguna manera se supon...
hecha 31.07.2015 - 18:44