鍵盤事件模擬
[英]Keyboard events simulation
嘿,我有興趣學習 web 開發和入侵站點以了解它們如何實現其安全機制。 我偶然發現了一個有登錄名的票務網站,我正在嘗試使用 JavaScript 代碼登錄,該代碼將輸入 email 的輸入值和密碼。 這是登錄頁面的示例: Ticketmaster 當我嘗試使用此代碼修改輸入值時,它似乎不起作用通過不 ...
如何在不暴露配置的情況下初始化 Firestore?
[英]How to initialize firestore without exposing the config?
Am wondering if there's a way to not expose the apiKey , authDomain and projectId when using the JavaScript SDK based on the examples here: https:// ...
SonarQube - JS 依賴安全漏洞掃描
[英]SonarQube - JS Dependencies Security Vulnerability Scanning
我有一個大型項目,其中包括通過 NPM/Yarn 下載依賴項的前端部分,並且正在尋找對 package.json 中定義的這些第三方依賴項的安全漏洞掃描。 我已經知道 Snyk、retireJS、NSP(現在被 NPM 收購)等選項,但是想知道是否有一個不錯的插件可以用來添加到 SonarQube ...
修復強化檢查標記的動態代碼注入問題
[英]fixing dynamic code injection issues flagged by fortify check
我正在嘗試運行強化代碼檢查器來檢查安全漏洞,它正在標記一些我使用過setTimeout的實例,以及某些來自標准第三方代碼庫的實例。 不確定如何修復它們。 我的JS文件 文件all.js在7982行將未經驗證的用戶輸入解釋為源代碼。在運行時解釋用戶控制的指令可以使攻擊者執行惡意 ...
在iframe之類的隔離空間中運行html / script / css,但沒有iframe
[英]running a html/script/css in an isolated space like iframe but without iframe
我有一些內部廣告投放,可投放html5廣告,每個廣告都包含自己的CSS js和html。 我不能只將它們放在iframe中,因為該網站基於很多觸摸手勢,並且觸摸無法在iframe上正常工作。 我可以放置pointer-events: none; 在iframe上投放廣告,但廣告將變 ...
如何從javascript中提取價值?
[英]How to extract value from javascript?
我在下面的javascript響應中 我正在嘗試使用正則表達式提取器從上面提取'reloadDocStructureAfterSaveAs'值 表達式: reloadDocStructureAfterSaveAs("(.+?)") 但是值未提取到參考變量中。 請指教 ...
在均值堆棧開發中,Angular Js代碼在瀏覽器上可見嗎?
[英]Is Angular Js Code Visible On Browser In Mean Stack Development?
最近,我讀了一篇有關平均堆棧開發的精彩文章。 與節點js中一樣,腳本在服務器端呈現,並且在瀏覽器中不可見。 我的問題是“當我們使用angular的視圖和控制器(並使用mongo db,node js並表達以制作API)時,Angular js的腳本在瀏覽器上是否可見”? ...
服務器響應狀態為403(禁止)
[英]the server responded with a status of 403 (Forbidden)
剛剛建立了一個ror(ruby on rails)網站,通過我的互聯網連接,它們看起來都不錯,並且在家里也能正常運行。 嘗試從公司Internet連接進行瀏覽時,瀏覽器未加載任何javascript(經過測試的chrome和IE 10) 我為所有JS文件得到的錯誤:無法加載資源:服務 ...
我什么時候需要檢查 origin 屬性?
[英]When do I need to check the origin property?
我什么時候需要檢查實現MessageEvent接口的事件的origin屬性以避免安全漏洞? origin 屬性必須返回它被初始化的值。 在服務器發送的事件和跨文檔消息傳遞中,它表示發送消息的文檔的來源(通常是文檔的方案、主機名和端口,但不是其路徑或片段)。 此屬性由服務器發送的事件、We ...
防止 Javascript 中的客戶端潛在代碼注入
[英]Preventing Client Potential Code Injection in Javascript
我在 gae 中用 java 創建了一個應用程序,並針對 checkmarx 運行它以檢查安全漏洞,它在標題下拋出錯誤 - 客戶端潛在代碼注入。 它在以下行顯示錯誤: 下面是我的代碼片段,我不確定為什么在使用它之前轉義電子郵件時它仍然拋出錯誤: 這是 loadAllData 方法使用傳遞的電 ...
如何確保休眠版本號在javascript客戶端中保持不變?
[英]How to ensure that the hibernate version number stays immutable in a javascript client?
我有一個Java和Hibernate的Rest后端,即時通訊使用帶有版本屬性的Optimistic Locking。 對於並發控制,此版本屬性必須轉到客戶端,然后再通過發布請求轉到服務器。 但是,在javascript客戶端中,我無法控制此屬性的完整性,例如: 客戶端“ A”請求資 ...
Google OpenID Connect for Authentication,不使用任何Google API
[英]Google OpenID Connect for Authentication without using any Google APIs
OpenID Connect常見問題解答說,其中一個主要用例是它允許“站點開發人員對用戶進行身份驗證,而不承擔存儲和管理密碼的責任”。 Google+登錄是OpenID Connect的一項實施。 我的理解是,您向Google注冊了一個應用,並選擇了您希望該應用有權訪問的Google A ...
是否有可能在服務器端加密並在客戶端解密(使用javascript)?
[英]is it possible to encrypt at server side and decrypt it on the client side (using javascript)?
我有一個場景,我必須在服務器端加密(使用java)並使用非對稱密鑰加密在客戶端(使用任何JavaScript庫)解密相同的數據,因為我們想從服務器端發送一些敏感信息。所以我的問題是 - 真的有可能嗎? 如果有,怎么樣? 如果不 ? 為什么? 如果真的有可能那么請提 ...
澄清“跨域Ajax”安全問題
[英]Clarification on “Cross Domain Ajax” Security Issues
假設我們允許跨域Ajax請求。 代碼看起來像這樣: 此次通話存在哪些安全隱患,mail.google.com不會只是拒絕該請求,而這將結束嗎? 編輯以澄清以上問題。 在這種情況下,cookie被發送到mail.google.com。 是瀏覽器當前存儲的所有cookie ...
文件上傳並了解目錄結構
[英]File Upload and knowing the directory structure
我們使用jquery fileupload將文件(和文件夾)從本地計算機拖放到瀏覽器。 這很好但我們無法捕獲文件夾中文件的目錄結構。 我理解為什么(從安全角度和javascript)這不起作用,但是有沒有人對實現同樣事情的最佳方法有任何想法。 同樣,我希望我的客戶(內部應用程序)將文件 ...
差異認證/授權機制
[英]diff authentication/ authorization mechanism
我有一個使用HTML和JavaScript構建的Web應用程序。 在我的應用程序內部,我必須與其他多個網站集成。 為此,我必須使用設備通用的安全身份驗證/授權機制。 我對其他應用程序的控制有限,並且沒有身份驗證/授權機制。 最初,我考慮將密碼保存在Cookie中,並針對所有應用程 ...
安全性:在JavaScript中將函數作為參數傳遞
[英]Security: Passing a function as a parameter in JavaScript
我對JavaScript非常陌生,所以請多多包涵! 我想知道您是否例如將一個函數作為參數傳遞給JavaScript中的另一個函數(免責聲明:代碼可能不是100%正確,但是您應該明白這一點!): 這是潛在的安全風險 ,還是這是使用JavaScript編程的常用方式? 謝謝。 ...
jQuery安全注入HTML
[英]jQuery safe injection of html
因此,我通過json從國外不受信任的來源接收html。 我想像這樣在div容器中顯示html: 我該如何防止最重要的是javascript注入,並且次要是一般會改變頁面的樣式。 這都是客戶端。 容器div的高度應靈活,以匹配內容的高度(可能排除某些iframe解決方案)。 更 ...
可以使用Firebug繞過選項卡上的jQuery驗證,有沒有辦法防止這種情況?
[英]jQuery validation on tab can be bypassed using Firebug, is there a way to prevent this?
安全問題。 我有一個jQuery代碼,可防止標簽打開。 因此,如果我點擊任何標簽,它會提醒我“拒絕訪問”。 但是,由於我可以使用Firebug或任何其他工具更改腳本,因此我可以將變量valid從false設置為true ,並允許我訪問所有選項卡。 有沒有辦法限制這個? ...
從我們的API通過電線發送JavaScript的安全性; 有沒有更好的辦法?
[英]security of sending javascript over the wire from our api; is there a better way?
我們有一個非常簡單的api,並希望返回以在另一個站點上呈現一些內容。 我想從我們的api端點發送類似的內容(例如http://domain.com/api/endpoint/1 ,它只是像<script src ='http:// domain / api / endpoint / 1' ...