Preguntas con etiqueta 'same-origin-policy'

3
respuestas

¿Qué propósito tiene Access-Control-Allow-Origin?

Tengo un malentendido con respecto al encabezado Access-Control-Allow-Origin de CORS. Su nombre dice "permitir", y entiendo que si hago una solicitud desde un "Origen" que no está permitido, la solicitud debe fallar. Pero siempre pu...
hecha 14.04.2016 - 17:07
2
respuestas

¿Defensa contra ataques del mismo origen?

La pregunta: ¿Cómo puedo, como víctima, proteger mi sitio para que no sea manipulado y no pueda hacer algo que se supone que no debe hacer, en un servidor compartido? La política del mismo origen mira hacia otro lado. Probablemente lo más con...
hecha 24.03.2013 - 17:19
2
respuestas

render SVG de forma segura

¿Cómo puedo representar documentos SVG de forma segura en una aplicación para compartir medios? Creo que la política del mismo origen podría ayudar un poco si almaceno los documentos SVG en un dominio separado y los muestro dentro de un eleme...
hecha 08.09.2013 - 21:45
1
respuesta

¿Cómo protege la política del mismo origen contra PUT / DELETE CSRF?

He leído la guía OWASP para falsificación de solicitudes entre sitios y dice que "otra Los métodos HTTP ", como PUT y DELETE, podrían utilizarse teóricamente para CSRF. Sin embargo, con la misma política de origen, estas solicitudes no se e...
hecha 05.04.2016 - 20:09
1
respuesta

Implicaciones prácticas de la vulnerabilidad del SOP de Android en 2014

Para un proyecto en la universidad, he investigado todo tipo de problemas de seguridad, especialmente los relacionados con la privacidad, que han surgido en sistemas operativos y aplicaciones móviles en los últimos años. Una de las infraccion...
hecha 07.06.2015 - 20:06
1
respuesta

¿De qué manera un javascript que realiza una solicitud HEAD entre dominios puede ser una amenaza?

Acabo de leer esta respuesta a la pregunta ¿Por qué es tan importante la misma política de origen?    Básicamente, cuando intentas hacer un XMLHttpRequest a otro   dominio, el navegador hará una de dos cosas:       Si se trata de una s...
hecha 26.07.2013 - 12:19
3
respuestas

Flash ignora el encabezado Content-Type, permitiendo XSS?

Hace poco leí que el complemento Flash ignora el encabezado Content-Type en ciertas circunstancias. En particular, puede asignar a Flash una URL, y el complemento Flash buscará felizmente el contenido en esa URL y cargará todo lo que reci...
hecha 25.09.2013 - 06:25
0
respuestas

Preocupaciones de seguridad de XSS de dominios principales no confiables

Hay mucha discusión sobre la protección del contenido en example.com del contenido controlado por el usuario en subdomain.example.com (por ejemplo, Páginas Github ). ¿Cuáles son los riesgos al revés? Si mi contenido está alojado en subdomin...
hecha 07.03.2017 - 20:33
0
respuestas

Configurar Access-Control-Allow-Origin para clientes con origen: null

Desarrollo una aplicación web. Cuando ejecuto la aplicación en Android, el origen en el encabezado de una solicitud de red es null . Access-Control-Allow-Origin en el encabezado de la respuesta también es null , porque el origen del...
hecha 28.03.2018 - 15:39
0
respuestas

¿Es relevante la manipulación del historial de sitios cruzados (XSHM)?

XSHM es una vulnerabilidad que explota el hecho de que el objeto del historial del navegador no sigue el mismo La política de origen y, por lo tanto, al rastrear los cambios realizados en este objeto, podemos rastrear las actividades de un usu...
hecha 19.02.2018 - 08:07