Entiendo CSRF y por qué no se pueden permitir las solicitudes AJAX entre dominios con cookies u otras credenciales sin un encabezado Access-Control-Allow-Credentials les permite explícitamente, de lo contrario, podría hacer cosas como...
Esta respuesta (¿de forma incorrecta?) indica
No, siempre que CORS Access-Control-Allow-Origin esté en su valor restrictivo predeterminado. Esto evita que el sitio web externo acceda al sitio enmarcado a través de Javascript / etc.
S...
¿Hay algún problema con la Política del mismo origen (SOP) con direcciones TOR o * .onion?
Estoy pensando en
cookies
Complementos (Silverlight, Flash, Java, etc.)
Javascript
Hasta ahora pensé que la política del mismo origen se aplicaba a las solicitudes de AJAX utilizando fetch o xmlHttpRequest , pero acabo de enterarme de que los objetos multimedia también usan esta política.
¿Hay otras cosas que u...
Imagine example.com que es accesible a través de HTTP y HTTPS. La mayoría del contenido del sitio no es seguro y no será malo si el atacante lo lea. Una de las rutas: example.com/secure_zone es accesible solo a través de HTTPS y co...
Me sorprendió bastante que en mis experimentos, simplemente pudiera conectarme desde un sitio web a un servidor WebSocket en un par de dominio / puerto diferente. Investigaciones posteriores demostraron repetidamente que WebSockets no está inclu...
Tengo un sitio web www.foo.com:8002 que he resuelto en 127.0.0.1:8002 en mi archivo de hosts. Tengo otro (el sitio principal) ejecutándose en localhost: 80
En www.foo.com:8002, la página se ve así
<form name="myform" action="http://local...
Intenté escribir una secuencia de comandos que mostraría el contenido de una cookie establecida por otro sitio web pero no funcionó.
<?php
echo 'Website cookie is '.$_COOKIE['locale'];
?>
Pero me sale un error de índice no definido....
Estoy tratando de entender mejor la misma política de origen. Por lo que entiendo, la misma política de origen restringe el código de un "origen" y no accede a los datos de otro "origen". Lo que estoy tratando de entender es el contexto de este...
Dado que la "zona" de seguridad varía según el TLD, ¿cómo se manejará el nuevo TLS?
Por ejemplo: un navegador puede permitir que se compartan cookies, certificados SSL y certificados comodín
company.com (dos capas de profundidad...