我有一个JavaScript应用程序。它是用jQuery构建的。它使用$.get()从服务器拉取JSON数据,并使用该数据加载拼图。我想将JavaScript应用程序分发给客户,并使其易于安装。我希望它能简单地为他们提供一个JavaScriptblock,他们可以将其放入他们的页面,然后它将与我的API交互。我没有传递敏感数据,我的任何API都在保护数据库免受SQL注入(inject)等攻击。我只是想尝试防止未经授权使用我的API,但我想不出用JavaScript来做到这一点的方法,因为任何拥有DOM检查器的人都可以从任何变量中获取任何凭据或可以监控任何服务器流量发布或获取数据...是
我正在使用以下代码在我的项目中异步加载facebookjssdk:window.fbAsyncInit=function(){FB.init({appId:settings.facebookAppId,cookie:true,//enablecookiestoallowtheservertoaccessthesessionxfbml:true,//parsesocialpluginsonthispageversion:'v2.0'//useversion2.0});FB.Canvas.setAutoGrow();};//LoadtheSDKasynchronously(function
这个问题在这里已经有了答案:关闭12年前。PossibleDuplicate:howtopreventyourjavascriptsbeingstolen,copied,andviewed?保护javascript代码并使其难以理解并确保窃取它的最佳方法是什么...我知道不可能100%保护它,因为它的客户端和客户端可以看到的所有代码它..但我需要让它尽可能地难...
我正在帮助开发的产品基本上是这样工作的:网络发布商在其网站上创建了一个新页面,其中包含来self们的服务器。当访问者到达新页面时,收集页面的文本内容并通过POST请求将其发送到我们的服务器(跨域,使用内部的)。我们的服务器处理文本内容并返回一个响应(通过JSONP),其中包含一个HTML片段,其中列出了指向Web上相关内容的链接。此响应被缓存并提供给后续访问者,直到我们从同一URL收到另一个包含文本内容的POST请求,此时我们重新生成"new"响应。这些POST仅在我们缓存的TTL过期时发生,此时服务器表示并提示在页面上再次收集和发布文本内容。问题是这个系统似乎天生就不安全。理论上,任
假设您有一个JavaScript小部件,当且仅当用户想要点击它时,它需要向您的Web应用程序发出请求。您不希望此请求容易受到CSRF的攻击,因此您将iframe写入页面。基于origininheritancerules父站点将无法读取CSRFtoken。但是点击劫持(或likejacking)呢?由于CSRF,您必须在iframe中并且有x-frame-options帮不上忙,frame-busters也是如此.攻击者将应用SVGmask小部件加载后的iframe。此掩码将使iframe不可见。此时,攻击者可以将iframe的大小调整为页面的大小,或者让这个现在不可见的iframe跟随
我正在使用javax.scripting添加对在服务器端运行任意用户上传的JavaScript的支持。显然我想保护这些脚本!Rhino本身有一个在运行时保护脚本的框架。但是,javax.scripting的文档并未提及脚本可用的安全性、权限或限制类。那么这是否只是javax.scriptingAPI中的一个巨大漏洞,它没有提供一个框架来保护它执行的脚本?我不想直接使用Rhino,因为我最初尝试过,但在将Java实例暴露给正在运行的脚本时遇到了一些问题。javax.scripting框架(在后台使用Rhino)使它变得微不足道,并且还简化了在多线程服务器中运行脚本。我想将可以在运行脚本中
我的网站是完整的SPA,所有经过身份验证的用户的请求都是使用访问token完成的,未经身份验证的用户可以访问的唯一表单是登录表单。那么csrf保护有必要吗?如果我从我的网站禁用csrf保护,我可能会面临哪些潜在的安全问题?谢谢。 最佳答案 如果我理解你的设置,它如下:用户POST凭据(例如:登录表单)服务器返回授权token作为响应用户在每个后续请求的请求header中包含token如果这是准确的,并且假设您正在使用TLS并正确验证token,我认为您已经很好地防止跨站点请求伪造。典型的CSRF保护是发送一个只有合法网站才能看到的t
我正在尝试创建一种类似于Cpanel密码保护目录的方法,其中会弹出一个窗口,要求用户输入用户名和密码,但Cpanel的方法很棒,但我的客户不知道该怎么做那,所以我想创建一个弹出消息框,通知访问者输入用户名和密码,我完全不知道如何创建它,以及类似于CPanel的编程语言支持 最佳答案 使用基本身份验证创建.htaccess(从网络浏览器运行)。您必须创建用户和密码文件。你可能会在网上找到很多关于它的手册。例如:http://www.elated.com/articles/password-protecting-your-pages-w
我有一个分类网站,我们的合作伙伴(经营另一个分类网站)需要访问我们服务器上的文件。该文件名为“partner.php”。此文件只是打印出有关我们网站上分类广告的一些信息。因此,对于我们的合作伙伴,他们只需访问“www.domain.com/partner.php?id=1234”即可访问该信息。我打算在Url中添加一个散列,这样外人就无法访问该文件。但我不知道该怎么做...有没有人可以指出正确的方向?我在电话中被告知我可以使用“32位长度的MD5字符串并将其添加到URL”,但我真的不知道如何开始,或者他们的意思是什么?有人知道他们的意思吗?感谢示例。谢谢 最
我有一个提供whois信息的网站。如何防止其他网站将该信息用作服务?(使用包含、字符串操作或其他)如果这不可能,我如何判断哪些网站正在使用/包含该信息? 最佳答案 我认为您自己的网站响应WHOIS查询,将信息传递给客户/用户(尽管您含糊不清并且可能只是指您的自己的whois条目,在这种情况下您需要一个域注册代理)。那么,解决方案很简单。只是限制任何IP地址可以进行查询的速率。让它成为普通用户可能永远不会点击的东西,但网站可能无法操作。也许每5秒(或任何时间)一个请求是一个很好的起点。如果您出于某种原因遇到问题,请收紧限制。即使它不会
