Preguntas con etiqueta 'same-origin-policy'

2
respuestas

Pruebas CSRF de un punto final de API utilizando solicitudes GET

Tengo un punto final de api que devuelve un nuevo token de api en JSON al usuario si ha iniciado sesión en mi sitio web y solo se utilizan sus cookies de sesión para autenticarse. Estoy tratando de escribir un fragmento de código que se carga...
hecha 05.03.2018 - 19:13
1
respuesta

Usos de la misma política de origen

Estoy tratando de entender qué casos de uso existen para el uso de Política del mismo origen ( SOP) . SOP evita que un documento o script cargado desde un origen interactúe con un recurso de otro origen. Pero, ¿en qué escenarios se utiliz...
hecha 09.02.2015 - 00:42
3
respuestas

Entendiendo el SOP en múltiples pestañas

Estoy leyendo otra respuesta en este sitio web. Dice:    Suponga que ha iniciado sesión en Facebook y visite un sitio web malicioso en   Otra pestaña del navegador. Sin la misma política de origen JavaScript en ese   sitio web podría hac...
hecha 08.02.2015 - 23:30
1
respuesta

En la Política del mismo origen, ¿por qué los diferentes protocolos se consideran una violación de seguridad?

Puedo entender por qué el contenido de diferentes dominios se considera sin confianza para la misma política de origen. Pero, ¿cómo puede ser peligroso el contenido de diferentes protocolos del mismo sitio / dominio? ¿Alguien puede dar un eje...
hecha 28.01.2014 - 23:16
4
respuestas

¿Por qué las llamadas IMG no violan el SOP (Política del mismo origen)?

Estoy un poco confundido con respecto al tema de la Política de Same Origin. Si entiendes correctamente. El propósito de SOP es evitar que una página obtenga acceso a datos confidenciales en otra página web. Entonces, por ejemplo, ¿por qué...
hecha 26.07.2018 - 20:29
2
respuestas

¿Es seguro establecer el valor del encabezado "Access Control Allow Origin" en el valor del encabezado "Origin" que está configurado implícitamente por el navegador?

Estaba probando un sitio web y noté que al cambiar el valor del encabezado "Origen" de una solicitud con una aplicación proxy interceptora, la aplicación web envía una respuesta con el "Valor permitido permitir origen de control" configurado al...
hecha 13.10.2017 - 08:50
1
respuesta

¿Usar URI de datos para realizar XSS en etiquetas de anclaje - vulnerabilidad? [duplicar]

He estado analizando algunos problemas relacionados con XSS. Al hacerlo, me he topado con algunas listas de comprobación de tipo "Evasión del filtro XSS" que demuestran el supuesto XSS a través de los URI de datos. Por ejemplo: La última l...
hecha 21.07.2017 - 09:10
2
respuestas

¿Se puede usar postMessage para enviar datos al iframe del pirata informático en el ataque CSRF?

Considere a un usuario que tiene una sesión abierta a un sitio legítimo con una contraseña. Esta página no tiene token anti-CSRF. Un hacker crea una página web con 2 iframes ocultos. Un iframe realiza un GET en la página con la contraseña y e...
hecha 14.04.2015 - 18:31
1
respuesta

Active Directory: ¿Deben separarse las estaciones de trabajo de los servidores para protegerlos de los hacks de dominio relacionados?

¿Cómo debo proteger los hosts unidos a un dominio en el mismo dominio de AD del Ataque de cookies de dominio relacionado ? Supongamos que hay un bosque de AD llamado example.com . Esta empresa tiene una variedad de aplicaciones web int...
hecha 05.03.2012 - 10:54
2
respuestas

Subdominios específicos del usuario: seguridad de JavaScript

Si proporciono un sitio web público para los usuarios en mi sitio web en su propio subdominio (por ejemplo, bob.myapp.com ) bajo su propio control, ¿puedo permitir que ejecuten JavaScript arbitrario sin poner en riesgo mi servidor de aplic...
hecha 25.10.2012 - 20:17