以下是我们的页面流程, >用户位于通过https访问的登录页面.>用户输入密码并提交页面(POST方法).>现在不对用户凭证进行身份验证,而是通过某些轮询页面(https)对服务器响应进行身份验证.>为了保留轮询页面上的密码,密码将通过Javascript变量从服务器传递到浏览器,并在提交轮询页面时将密码通过POST方法传递.现在,服务器对用户凭据进行身份验证. 题:通过HTTPS在javascript变量中从服务器向浏览器传递密码是否安全? 我的意见 >之间的...
在哪里可以了解(或了解)cookie的范围,从而避免对经过身份验证的用户进行CSRF和XSS攻击? 例如,如果我有一个多租户系统,其中一个用户可以访问一个或多个站点,那么更安全: > company1.hoster.com> company2.hoster.com> company3.hoster.com 要么 > www.hoster.com/company1> www.hoster.com/company2> www.hoster.com/company3 如果在“ hoster.com”上设置cookie,会发生什么?解决方法:您可以分别在domain和path中限制cookie的有效...
我有一个涉及以下方面的项目: >用PHP,jQuery(Ajax)和本地数据库制作的前端Web应用程序,用于最终用户验证和配置前端Web应用程序等方面.>后端REST Web服务(在前端应用程序以外的其他域和计算机中运行),由前端使用jQuery和JSONP技术调用. 我需要以一种安全的方式进行通信,但我不知道该怎么做.我希望有一个人可以帮助我.我将非常感谢.解决方法:最简单的方法是通过HTTPS服务Web服务,并使用HTTP Basic作为身份验证方法.这很容易在客户端...
我一直在寻找JavaScript模板引擎,并选择了DoT.js(主要是因为它非常适合fast),但是存在以下问题 >空安全/未定义安全/空合并,就像在Freemarker / VTL中一样,我希望能够传递foo.bar.foobar,而不必担心检查foo,foo.bar和foo.bar.foobar是否已定义例如避免像{{ var val='';try{ var=foo.bar.foobar }catch(){} }}{{= val}}我对此感到难过,或者{{= typeof foo !== 'undefined'?typeof foo.bar!=='undefined'?typeof foo.bar.foobar!=='un...
我想使用带有剔除的安全绑定.为此,我使用knockout-secure-binding.js. 谁能解释以下代码为何无效?它抛出一个错误Uncaught #< Object > knockout-secure-binding.js:74` 在ko.applyBindings(new viewModel())行之后;<html> <head><title></title><script src="scripts/knockout-3.0.0-min.js"></script><script src="knockout-secure-binding-master/dist/knockout-secure-binding.js"></script></head> <body><button type="butt...
我正在实现一个Chrome扩展程序,该扩展程序需要使用令牌访问第三方API端点. 假设其他Chrome扩展脚本可以访问页面的localStorage&,我如何将令牌安全地存储在Chrome扩展中.曲奇饼?解决方法:其他脚本无法访问您的存储.但是用户始终可以调试脚本并查看它.您将无法对其进行加密.最多您可以对其进行混淆.
我正在使用客户端Cognito Javascript SDK.设置的一部分需要配置区域,UserPoolId,ClientId和identityPoolId.在测试期间,我通过一个单独的文件包含数据,用户可以浏览并使用它们来发现这些Cognito ID. 将这些ID公开给最终用户是否安全? 否则,我该如何安全地这样做?解决方法:AWS在他们的论坛上有一篇文章解决了这个问题.Please note that with userPoolId and clientId, only unauthenticated APIs can be called, for eg: SignUp, a...
我最近正在读一本JavaScript书,发现使用innerHTML传递纯文本会带来安全风险,所以我想知道使用html()jQuery方法会带来同样的风险吗?我试图对其进行研究,但找不到任何东西. 例如:$("#saveContact").html("Save"); //change text to Savevar saveContact = document.getElementById("saveContact"); saveContact.innerHTML = "Save"; //change text to Save从我所知的角度来看,这些方法具有相同的作用,但是它们都带来了某些人可以注...
我想要concatenate javascript files together并从我的网站中将其作为一个服务-因此,这就是我的代码和jquery插件或其他第三方脚本. (我正在使用Google CDN托管jQuery). 我想知道我总是保证这样做是安全的.就命名空间而言,我不是Java语言方面的专家,我只是有点担心可能会发生某些事情,例如可能引起冲突的名称空间构造.我可以很好地假设javascript的各个来源格式都很好. 据我所知,< script>标签本质上只是将JS粘贴在文件中,就像它在文...
我正在用javascript创建一个塔防游戏,并希望获得高分和其他多人互动.可能有几个玩家在同一时间开始游戏,并告诉他们其他人走得有多快以及这类事情. 我不知道Flash游戏如何发送分数或事件以确保每个客户发送的信息实际上是正确的,而不仅仅是发送令人难以置信的分数的人.我记得几年前Flash游戏开始获得高分时,看到不真实(被黑客入侵)的得分非常普遍,而且……这很奇怪.那么这里的秘密是什么?解决方法:人们将永远有能力在游戏中作弊…您...
这是JavaScript库: jsencryption.js 我想用它来: >加密我站点中用户的数据,然后发送到数据库服务器.>将加密的数据从数据库发送到browser-client,用户放置密钥,然后 然后显示原始数据. 3.数据库不保存密钥,因此更安全. 我想知道路是否足够安全,关于http://www.passpack.com/en/home/ 以及passpack.com如何保存密码. 谢谢解决方法:您链接到claims the following的jsencryption.js库 >使用的加密是256位AES,这是美国政府使用的标准>...
我已经在这种问题上苦苦挣扎了一段时间,似乎无法找到任何信息或示例代码来在PHP和JavaScript之间传输某些数据.我看到了很多方法,但并不安全.我的意思是,当您在系统之间传输某些变量数据时,加载后直接显示在页面的视图源窗口中.真正需要的是一种传输数据的方式,但是要安静而安全,以使页面加载时不会在用户端显示. 简而言之,有没有一种方法可以做到这一点? 我已经尝试过,使用XML文件(也可以使用JSON),直接通过echo或在?>之后传输数...
我有一个用户提交的不受信任的代码,我需要在浏览器的沙盒环境中执行它. 我被告知,Web-Workers不能为此提供足够的安全性,应该更好地使用不兼容的iframe.这一页: https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Web_Workers 还说工人不适合不受信任的代码. 但是,如果我从Blob创建一个worker,则其url甚至具有不同的协议(blob://).在这种情况下,是否将单独的来源策略应用于工作者代码? 如果还有其他原因,为什么(默认情...
这样安全吗?还是这容易受到代码注入的影响?$scope.placeholder = function(value, def) {var val = eval("$rootScope.master.user." + value);if (val) {return val;} else {return def;} };我使用的是括号符号,但是我意识到如果在下面的示例中传入诸如Address.addr1之类的对象,我将无法实现:<input type="email" ng-model="user.email" placeholder="{{placeholder('email', 'Email...')}}" /><br/> <input type="text" ng-mo...
这是一个JavaScript / ES6方法,返回由两个方法组成的哈希值:writeA和_write.我们想从散列的外部调用writeA,并且此方法本身可以调用_write(如下定义)以完成其工作.getHash = () => {return {writeA: () => {console.log(this);this._write('a');},_write: (value) => {console.log(value);}}; };getHash().writeA();当最后一行执行时,解释器说this._write不是函数. _write具有相同的效果.如何在writeA中引用_write?解决方法:您正在...