我一直在用户数据保存在参考ID下,以及一些包含电子邮件地址的用户信息.我想让数据可用,但阻止人们猜测ID并查看其背后是否有信息. 如果他们向我提供他们注册的ID和电子邮件地址,我只想提供数据. 所以我将这些数据存储在Firebase中:{ "data" : {"ms12345678" : { "name" : "John Doe","age" : 40,"email" : "johndoe@domain.com"} }所以做var ref = firebase.database().ref(“data / ms12345678”)应该会失败,除非我也提供johndoe...
我有一个网站,它使用JQuery从位于:https://api.lootbox.eu/的API获取信息.我正在制作的网站有一个使用Let的加密工具创建并安装的证书. (我按照DigitalOcean的教程进行设置) 现在,当我点击按钮进行API调用并更新网站内容时,Google Chrome会认为证书“不安全”(显示在地址栏中). 这是我的代码.//when the page has fully loaded $(document).ready(function(){ function parseResponse(data) {//parsing JSON...//lets avoid the "d...
使用get并将其设置为对象文字的属性名称通常是安全的,如下所示:var myObject={get: 'value1',set: 'value2' }获取和设置似乎不是javascript中的保留字,但我担心这可能会导致与某些内置行为发生冲突.特别是get和set似乎有一些pretty unique behavior in the Object.defineProperties method:Object.defineProperties(someObject,{'Property1':{get:function(){return property1;},set:function(val){property1=val;},enumerable:t...
调用AJAX调用时,可以使用firebug在控制台上看到调用请求和响应.这是一个重大的安全问题.我们如何隐藏控制台的响应(数据)? 有什么选择吗?解决方法:数据到达客户端的事实意味着客户端有权阅读并随意执行任何操作.现在,如果该数据存在安全风险,则不应该首先将其发送到客户端. 如果您担心客户端以外的其他人可能会看到它,那么请使用HTTPS. 如果你担心人们可以在萤火虫中看到它,那么那些数据就不应该被客户看到.隐藏萤火虫只会让它变得...
我正在开发一个网站,我使用锚点来提交带有jQuery的表单,如下所示:$("a[title=submit]").click( function(){$(this).parents("form").submit();}); });然而,使用链接这种方式的I’ve read是不好的做法,安全方面. 有谁知道问题是什么?解决方法:这是不好的做法,但“危险”与安全无关. 使用脚本辅助链接提交表单而不是仅仅提供一个提交按钮会使您的表单需要JavaScript(因此在JS由于其他错误而不可用或损坏时无效),并使链接提供像“在...
现在很多网站都使用AJAX来让用户登录. 然而,这种设计存在(我认为)巨大的安全漏洞. 如果登录失败,则在向服务器发出的请求中使用了用户名/密码. 如果由于某种原因用户在此时走AFK,恶意用户可以查看用户已做出的请求(firebug / devtools). 它是否正确? 我们可以做些什么(不这么认为)?解决方法:Firebug仅在请求期间处于活动状态时记录请求.除此之外,它还记录常规POST和AJAX POST(对于GET来说都是一样的,但是对于登录使用它会被延迟,因...
我有一个代码:myarray[150] = 'a'; myarray[80] = 'b'; myarray[122] = 'c';然后 :myarray.splice(80, 1); myarray[80] = 'b';我的应用程序上面的代码结果是:[150] = ‘a’; [80] = ‘b’; [121] = ‘c’;我不明白为什么c值有121作为索引. anyonen可以解释我的代码有什么问题吗?解决方法:你必须使用:delete myarray[80]安全删除
我在JavaScript中有一个变量:var userIp = '192.168.0.1';但是,用户可以打开浏览器控制台并覆盖它:userIp = '123.45.127.21';我怎么能锁定这个变量,用户无法改变它的值?可能吗?解决方法:How I can lock this variable, to user can’t change it value? Is it possible?不,不是.你可以通过使变量不是一个全局变得更难,但它仍然不是很难. 客户端代码是完全不安全的.用户可以更改变量值,修改代码,完全替换代码等.他们还可以操作页...
如果用户不是ADMIN,我必须隐藏我的datatable的一些列.在HTML中我有这个代码<table id="fleetsTable"class="table table-bordered table-striped"><thead><tr><th>Application</th><th>Cubic</th><th>Power</th><th>Euro class</th><th>Engine Type</th><th>Traction</th><th>Transmission</th><th>Cars</th><th sec:authorize="hasRole('ROLE_ADMIN')">Delete</th></tr></thead> </table> 该表通过javascript填充ajax值.我有...
我正在进行同行评审,我发现人们使用window.location.search检查已发送到给定(搜索)页面的paremetes. 这样做是否安全?我想我们可能会在脚本块中的HTML输出中打印参数并验证打印的变量而不是查询window.location.解决方法:关于这种方法有一点需要注意. window.location在页面加载时静态设置,并且不会检测用户在此之后对地址栏所做的更改.这不应该是一个问题,但重要的是要知道. 将以下代码保存为html文件并在浏览器中将其激活:<!DOC...
我有一个我试图启动的Web应用程序(Java).用户需要登录系统才能使用这些功能.所以这个应用程序有两个部分:1)用户注册2)登录我担心的是我将用户名/密码数据从Web浏览器传输到服务器的方法是多么安全. 注册 由于我不确定如何安全地将数据从Web浏览器发送到服务器,因此我很遗憾. 登录 我有以下设置: <<客户>> ————————————————– —-<<服务器>> [请求令牌] ——————————————— —————->&G...
我即将开始在我的网络应用程序中实现复制/粘贴功能,但我发现它显然是不允许的.我不太关心怎么做,因为它是一个可选功能,但我很好奇真正使它成为一个安全问题.如果有人能解释,我会非常感激.解决方法:当网站用于在没有您操作的情况下将内容复制到剪贴板时,这也非常令人讨厌,从而清除了剪贴板中的其他内容.一些网站过去常常试图阻止图像的右键单击复制,并且在此过程中,它们破坏了剪贴板的一般用法.这不是安全问题,而是对剪贴板的拒绝服...
继Steve(YSlow)Souder的传福音后,我的网站(LibraryThing.com)将域间请求分开,以方便并行加载.我们做CSS,JS和图像;你也可以做Flash等.我们也使用Google的Prototype版本,它是跨域的,而不仅仅是跨子域. 这对速度来说非常好,但对于一小部分用户来说,这是错误的.我认为问题是过于热心的安全设置,可能在IE中,但也许在其他浏览器和/或上游系统中.我很惊讶Souders和其他人不讨论这个,因为我们得到了很多. 问题是:处理这个问题的最佳方法是...
我在我正在处理的网站上收到此错误,我已将代码简化为以下示例,这在webkit(chrome 15.0.x)中产生此错误,我在firefox中看不到错误. 我查看过有关同一错误的其他SO帖子,其中大多数都是关于使用youtube API和跨域引用. 我试过了: 改变doctype,(没有区别)将原始参数添加到youtube调用(没有区别)<!DOCTYPE html> <html lang="en" dir="ltr"> <head><title></title> </head> <body class="page front logged-in no-sidebars"> <iframe w...
当我在家工作时,我们的开发服务器的URL需要基本身份验证.因此,如果网页具有对我们的开发服务器的脚本或链接标记引用,则会提示每个服务器URL. 最近,我使用jQuery $.ajax在开发服务器上写了一个API的ajax调用.我没有得到身份验证提示,Firebug报告401未经授权.但是,如果我将此API直接放在浏览器地址栏中,我会收到提示. 目前,我必须切换到Chrome并调用–disable-web-security.当我这样做时,$.ajax调用将导致浏览器给我一个提示. 这是$....