草庐IT

Java 安全管理器完全禁用反射

全部标签

javascript - .textContent 是否完全安全?

我正在执行element.textContent=unescapedData以将未转义的用户输入放在网站上。攻击者有什么办法可以利用它来做坏事吗?如果它有以下CSS吗?max-width:30rem;max-height:3rem;overflow:hidden;我考虑过使用奇怪或无效的Unicode字符,但找不到有关如何实现此目的的任何信息。 最佳答案 相关规范似乎在https://dom.spec.whatwg.org/#dom-node-textcontent.假设element是一个Element或DocumentFragm
textContentjavascriptsectioncodehttpscsssecurityescaping

javascript - 与 AMD (requirejs) 一起获得闭包编译器类型安全性的最可靠方法是什么?

虽然JavaScript及其许多库(jQuery、RequireJS)允许创建许多很棒的网站,但在考虑构建更大的网站时,我发现它缺乏类型安全性令人望而生畏。Google有一个很棒的closurecompiler这让你可以annotate你的JavaScript和JSDoc并检查它的类型。在试用了其丰富的类型系统后,我预计这将大大提高生命周期更长的JavaScript项目的可维护性。唯一的问题是它不能很好地与AMD一起玩像RequireJS这样的库。有一个实验--transform_amd_modules连接JavaScript文件并通过消除它来处理作用域的标志。然而,这似乎有点反模式,
javascriptrequirejsnoreferrernoopenernofollowgoogle-closure-compilertype-safety

javascript - 如何知道模式框(警告、提示、确认...)是否已在 javascript 中被禁用?

我有一个基于网络的私有(private)应用程序,有时我会真诚地询问用户在特定情况下他们想做什么。为此,我使用了javascript的confirm函数。与任何其他模态框一样,在弹出几次后,用户可以选择通过单击小框来禁用它们,如下所示:问题是,如果他们点击一次,他们将永远不会看到其他消息,并且对confirm的响应被假定为0,这很令人困惑,因为基本上这意味着所有需要他们确认的操作会在没有警告的情况下被取消!刷新页面没有帮助,他们必须关闭它并重新打开它才能再次工作。我可以检测到他们何时选中了那个小方框吗? 最佳答案 选中该框后,对话框
javascript如何sectioncodedialogmodal-dialog

javascript - 使用规则禁用 Firebase Cloud Firestore 中的查询集合

我正在使用FirebaseCloudFirestore,我想修改我的规则以限制用户查询集合。这是不允许的:firestore().collection("users").get()但这应该被允许:firestore().collection("users").doc("someUserId").get()目前,我的规则是这样的:match/users/{userId}{allowread;}但是这条规则允许查询“users”集合。如何允许单个文档获取,但不允许集合查询? 最佳答案 您可以将读取规则分解为get和list。get规则适
javascriptFirestoresectioncodestrongfirebasegoogle-cloud-firestorefirebase-security

javascript - jstree 禁用复选框

我目前正在使用JSTree插件和相关的复选框插件进行一些POC。对于某些节点,我需要默认选中复选框并禁用任何进一步的选择。我找到了隐藏复选框的功能.bind("load_node.jstree",function(e,data){$(this).find('li[rel!=file]').find('.jstree-checkbox:first').hide();});我不想完全隐藏复选框,而是想找到一种方法来禁用某些节点的复选框 最佳答案 您需要定义一个“禁用”类型(使用类型插件),然后将该类型分配给所需的节点。以这个“禁用”类型
javascriptjstreesection34checkbox

javascript - JSHINT:如何禁用匿名 'function' 后缺少空格的警告

我在jshint中收到了警告'[L76:C24]Missingspaceafter'function''我遵循NicholasZakkasMaintainablejavascript风格,匿名函数后没有空格。如何在jshint中删除此警告?.jshintrc{"node":true,"browser":true,"es5":true,"esnext":true,"bitwise":true,"camelcase":true,"curly":true,"eqeqeq":true,"immed":true,"indent":4,"latedef":true,"newcap":true,"n
javascriptamp34truecodejshint

javascript - 将 'arguments' 传递给 'apply()' 是否安全

假设我有以下代码(完全没用,我知道)functionadd(a,b,c,d){alert(a+b+c+d);}functionproxy(){add.apply(window,arguments);}proxy(1,2,3,4);基本上,我们知道apply需要一个数组作为第二个参数,但我们也知道arguments不是一个正确的数组。代码按预期工作,所以可以肯定地说我可以将任何类似数组的对象作为apply()中的第二个参数传递吗?以下内容也可以使用(至少在Chrome中):functionproxy(){add.apply(window,{0:arguments[0],1:argumen
amp39codeargumentsstrongjavascript

javascript - 在 Select Multiple Jquery 中获取禁用选项的值

我的页面上有多项选择,我有一个选项被禁用,因此用户无法取消选择它们,但我不知道如何获取被禁用选项的值。到目前为止我的代码//Getselectedpositionsvar$selPositions=$('select#empPositions').val();HTMLTherearenopositionsassignedtoAdminITDeveloperITGeeks请注意,禁用选项会根据其他变量而变化,但它只会为我提供选定的非禁用值。谁能告诉我这是否可以完成以及如何完成?我正在使用Chosen,因此disabled选项fiddle:http://jsfiddle.net/c5kn5
javascriptMultipleoptioncode34jqueryselectmultiple-select

javascript - 依赖 Content-Type : text/plain to mitigate malicious javascript execution in response? 是否安全

我们有一个返回的web应用程序HTTP/1.1400BadRequest...Content-Type:text/plain;charset=UTF-8Content-Length:57Date:Tue,14Apr201519:24:54GMTConnection:closeInvalidprojectareaitemidalert(1086)据我了解,依靠Content-Type:text/plain;charset=UTF-8作为防御来阻止javascript执行是不够的。相反,应该对输出进行编码,并且应该对输入进行输入验证并丢弃垃圾。我正在寻找的是关于处理具有javascript
javascriptContent-TypeContentplainxss

javascript - AJAX 跨域安全背后的基本原理是什么?

考虑到编写跨域获取数据的服务器端代理的简单性,我不知道阻止客户端AJAX跨域调用的最初意图是什么。我不是在寻求猜测,我是在寻找语言设计者(或与他们关系密切的人)的文档,了解他们认为自己在做什么,而不仅仅是给开发人员带来轻微的不便。TIA 最佳答案 防止浏览器充当反向代理。假设您正在浏览http://www.evil.com从您办公室的PC上,并假设该办公室中存在一个包含敏感信息的内部网http://intranet.company.com只能从本地网络访问。如果跨域策略不存在,www.evil.com可以向http://intran
javascriptAJAXsectioncomstrong
80818283848586