草庐IT

API 安全

全部标签

javascript - AJAX 跨域安全背后的基本原理是什么?

考虑到编写跨域获取数据的服务器端代理的简单性,我不知道阻止客户端AJAX跨域调用的最初意图是什么。我不是在寻求猜测,我是在寻找语言设计者(或与他们关系密切的人)的文档,了解他们认为自己在做什么,而不仅仅是给开发人员带来轻微的不便。TIA 最佳答案 防止浏览器充当反向代理。假设您正在浏览http://www.evil.com从您办公室的PC上,并假设该办公室中存在一个包含敏感信息的内部网http://intranet.company.com只能从本地网络访问。如果跨域策略不存在,www.evil.com可以向http://intran
javascriptAJAXsectioncomstrong

javascript - Web Workers 是一种安全的方式来沙盒不受信任的 JavaScript 代码吗

我想知道WebWorker是否是对不受信任的JavaScript代码进行沙盒处理的安全方法。例如,在绘图应用程序的上下文中,开发人员可以在其中实现新的绘图工具,您可以将他们的代码放入webworker中,并且每当用户单击Canvas时,向他们发送包含光标位置的JSON消息,以及图像数据数组,当脚本完成时,它会传回一条包含新图像数据的消息。这是否安全,或者是否存在我没​​有想到的风险? 最佳答案 DOM对Webworker不可用,但可以访问同源内容,例如indexedDB。请参阅我的相关问题:Canworkersbesecureeno
javascriptsectionnoreferrercodesecurityweb-worker

javascript - Microsoft Edge 不接受内容安全策略的哈希

问题Content-Security-Policy应该默认将脚本和样式解析列入黑名单,并允许它基于各种指令来验证预期输出的哈希值。浏览器必须无法实现任何未预先提供匹配哈希的Javascript或CSS。具有匹配散列的代码应正常执行。MicrosoftEdge拒绝所有JS/CSS页内block。说明在MicrosoftEdge和任何其他浏览器中访问下面的实时演示链接。现场演示:http://output.jsbin.com/biqidoqebu演示原始源码#loading{color:transparent}#loading:after{color:green;content:"Styl
javascriptMicrosoftcodestrongscriptcsssecuritycontent-security-policymicrosoft-edge

javascript - 如何在 React v16.6 中的新 CONTEXT API 中获取多个静态上下文

您好,我正在尝试访问一个组件中的多个上下文,但我仅通过提供者提供的一个上下文值就获得了成功。有两个提供程序ListContext和`MappingContext。我如何访问这样的上下文:classTableDataextendsReact.Component{staticcontextType=ListContext;staticcontextType=MappingContext;componentDidMount(){constdata=this.context//itwillhaveonlyonecontextfromListContext}我知道我可以在render()中使用多
何在javascriptContextcode34reactjs

javascript - 如何限制 AJAX API 免于不必要的使用(例如执行 SELECT * 的人)

我有一个餐厅定位器网络应用程序,可以将餐厅的位置混搭到Googlemap中。我使用JQueryslider通过搜索过滤器限制在map上显示的餐厅数量,例如:价格、食物类型、区域设置。这些JQueryslider通过AJAX回调到我创建的API,无需刷新网页即可更新map。JQuery像这样调用RESTFULAPI:http://example.com/search/?city=NYC&max-price:50&cuisine=french这会返回符合此条件的餐馆的JSON字符串,以便我的Web应用程序可以在map上显示符合搜索条件的所有餐馆。我不希望发生的是有人过来弄清楚我的API并转
免于javascriptcodesectionAPIajax

javascript - 从 soundcloud 设置网络音频 api 源节点

我想知道是否有任何方法可以从soundcloud轨道创建源节点(https://dvcs.w3.org/hg/audio/raw-file/tip/webaudio/specification.html#MediaElementAudioSourceNode)。我对网络音频API没问题,但对soundcloudsdk还是陌生的,据我所知它依赖于soundmanager2。那么也许有一些来自soundmanager2的选项可用?问候 最佳答案 您可以请求一个轨道,然后使用stream_url属性,您可以将其设置为音频元素的src,用作
javascriptsoundcloudsectioncodehtml5-audiosoundmanager2

javascript - PhantomJs 保存谷歌图表 API GeoChart 的 png 图像

我正在尝试将googlecharts生成的图表保存为png图像。该代码适用于除GeoChart之外的所有图表。图像有时会出现,但通常只是空白。这是代码。渲染.jsvarsystem=require('system');varpage=require('webpage').create();page.open('chart.html,function(){page.paperSize={format:'A4',orientation:'landscape'};page.render(system.args[1]);phantom.exit();});图表.htmlChartGenerat
javascriptPhantomJs39sectioncodegoogle-visualization

javascript - 从 facebook graph API 获取全尺寸图片

我正在使用图形API端点/PAGE_ID/posts从facebook页面获取所有帖子。现在我想要这些帖子中的全尺寸图片。返回对象的图片属性只给我该图像的裁剪版本。通过这些帖子中的对象ID和API端点/OBJECT_ID/picture,我得到了图片的唯一小版本、普通版本和相册大小版本。但通过对URL稍作修改,我设法获得了完整尺寸的图像。示例这个网址:https://graph.facebook.com/10152843929471041/picture重定向到此URL:https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-xpa1/t31
javascriptfacebook10152843929471041codehttpsregexfacebook-graph-apiredirect

javascript - Google Maps Javascript API V3 - 如何删除自定义控件?

我按照http://code.google.com/apis/maps/documentation/javascript/controls.html创建了自定义Controller有没有办法删除自定义Controller?是否可以为此使用setOptions()? 最佳答案 您可以使用removeAt()或clear()使用这两个函数删除应该完成任务。或者根据它在MVCArray中的位置map.controls[position]是一个MVCArray。http://code.google.com/apis/maps/documen
自定javascriptsectiongoogle-maps-api-3

javascript - Google Maps API v3.19 在 Internet Explorer Quirks 模式下损坏

GoogleMapsAPI3.19版于2015年2月17日成为默认map“发布”(参见https://code.google.com/p/gmaps-api-issues/wiki/JavascriptMapsAPIv3Changelog)。使用quirksmode时,该版本似乎会导致InternetExplorer出现问题,正如我从受此问题影响的应用程序生成的以下测试页所证明的那样(因此这可能包含比此处所需的代码更多的代码):GoogleMapsTestPagefunctioninitialize(){top.google.maps.visualRefresh=true;varmap
javascriptExplorergooglecodegmaps-api-issuesgoogle-maps
84858687888990