Preguntas con etiqueta 'same-origin-policy'

preguntas con etiqueta
0
respuestas

¿Existe una superficie de ataque de iframe en webcache.googleusercontent.com?

Me he dado cuenta de que uno de mis sitios web aparece casi en blanco cuando se ve desde Google Cache en webcache.googleusercontent.com , porque al parecer Google debe insertar el siguiente encabezado adicional, lo que, aparentemente, hace...
hecha 19.07.2015 - 04:54
2
respuestas

¿Pueden los navegadores web más antiguos o personalizados anular la misma política de origen?

Entiendo totalmente la base de la política de origen y el razonamiento por el que todos los navegadores modernos han implementado esta política. Supongo que mi pregunta es si los navegadores antiguos lo admiten, y si no lo hacen, ¿podría sign...
hecha 01.10.2013 - 16:31
1
respuesta

¿Qué impide el envío de "$ .post" de un dominio a otro?

Tengo un sitio web en la pestaña de cromo, y otro sitio web en otra pestaña, Estoy ejecutando el comando de publicación única en el segundo sitio web - $ .post (...); al primer sitio web. Originalmente no funciona (obteniendo: "No hay un encabez...
hecha 13.07.2017 - 00:55
2
respuestas

Cookies de terceros y CSRF

¿Las cookies de terceros abren la posibilidad de CSRF donde puede que no exista? Estaba mirando una publicación de blog , así como una borrador de IETF sobre cookies del mismo sitio que parece que las cookies de terceros pueden hacer que CSRF...
hecha 13.01.2017 - 17:07
2
respuestas

¿Una aplicación de una sola página rompe de forma natural la política del mismo origen?

Supongamos que tienes una aplicación web. La API de backend se implementa en api.example.com y su SPA frontend se implementa en frontend.example.com . Cuando lo abres, descargas todos los recursos a tu navegador. El origen es fro...
hecha 30.08.2017 - 10:03
1
respuesta

Robo de token de CSRF

Encontré este enlace que explica cómo un atacante podría explotar el control de acceso y permitir que el origen obtenga un token anti-CSRF: enlace Si el token en el ejemplo anterior era un token de un solo uso (se genera uno nuevo cada v...
hecha 05.06.2014 - 16:27
1
respuesta

Aplicación web con CORS Origin: * usando el encabezado de autorización

Como se indica aquí, enlace en "Solicitudes con credenciales y comodines". Cita:    Al responder a una solicitud con credenciales, el servidor debe especificar una   origen en el valor del encabezado Access-Control-Allow-Origin, en lugar de...
hecha 21.09.2018 - 15:49
1
respuesta

ReverseProxy y PCI Compliance

Mi empresa tiene una pasarela de facturación compatible con PCI y exponen un servicio para enviar detalles de pago con tarjeta de crédito. Estoy escribiendo un sitio web (Aplicación de página única / javascript de extremo a extremo) para ello...
hecha 27.09.2013 - 00:04
1
respuesta

¿Cuál es el contexto "about: blank" para la seguridad y privacidad del navegador?

Este blog describe una forma de esconderse El encabezado de referencia en varias situaciones. Específicamente, se refiere a cosas que se ejecutan en el contexto about:blank . ¿Qué es el contexto about:blank ? ¿Cómo se rela...
hecha 29.03.2013 - 16:44
1
respuesta

Obtención de información sensible del anuncio que se muestra en las páginas web

Como todos sabemos, el JavaScript cargado dentro de un sitio web A se restringe para acceder al dominio mismo [ misma política de origen ]. Lamentablemente, la misma política de origen no se aplica a los nodos DOM recién creados, que, por e...
hecha 07.09.2013 - 01:09