草庐IT

NSSCTF-Web安全入门-wp

全部标签

javascript - .textContent 是否完全安全?

我正在执行element.textContent=unescapedData以将未转义的用户输入放在网站上。攻击者有什么办法可以利用它来做坏事吗?如果它有以下CSS吗?max-width:30rem;max-height:3rem;overflow:hidden;我考虑过使用奇怪或无效的Unicode字符,但找不到有关如何实现此目的的任何信息。 最佳答案 相关规范似乎在https://dom.spec.whatwg.org/#dom-node-textcontent.假设element是一个Element或DocumentFragm
textContentjavascriptsectioncodehttpscsssecurityescaping

javascript - 与 AMD (requirejs) 一起获得闭包编译器类型安全性的最可靠方法是什么?

虽然JavaScript及其许多库(jQuery、RequireJS)允许创建许多很棒的网站,但在考虑构建更大的网站时,我发现它缺乏类型安全性令人望而生畏。Google有一个很棒的closurecompiler这让你可以annotate你的JavaScript和JSDoc并检查它的类型。在试用了其丰富的类型系统后,我预计这将大大提高生命周期更长的JavaScript项目的可维护性。唯一的问题是它不能很好地与AMD一起玩像RequireJS这样的库。有一个实验--transform_amd_modules连接JavaScript文件并通过消除它来处理作用域的标志。然而,这似乎有点反模式,
javascriptrequirejsnoreferrernoopenernofollowgoogle-closure-compilertype-safety

javascript - jQuery,Web 应用程序框架?

我使用jQuery组合网站的时间最长。现在我有兴趣制作一个Web应用程序(一个页面加载整个网站的功能,如Gmail)。是否可以利用任何jQuery框架或实践来构建我的应用程序,这样我就不必重新造轮子,或者在我开始的时候把一些东西拼凑在一起?谢谢 最佳答案 (不是那么多)选项之一是JavascriptMVC,这非常酷,我已经将它用于一个中型项目。它的网站非常令人沮丧,但给它一个机会并观看thevideo.一个积极的方面是它的创建者总是在JMVC的谷歌组中非常快速地回答。但是,实际上,如果我必须重新制作我提到的项目,我不会使用它,因为j
javascriptjQuerysectionnoreferrernoopenerframeworksjavascript-framework

用于 Web 应用程序之类的控制台的 Javascript 资源?

假设我想在HTML/CSS/Javascript中实现一个类似curses/console的程序。示例可能是在线文本冒险游戏或类似于“立即尝试XYZ编程语言”网页的简单解释器,您会看到Ruby或Haskell等语言。是否有库/插件/等...实现这些终端接口(interface)?注意:经过一段时间的挖掘,我找到了jquery-console,乍一看很有前途。还有其他选择或建议吗? 最佳答案 我一直在使用termlib.js几个项目的图书馆,它真的很棒。它有助于处理很多事情,例如处理键盘和解析输入。它还应该比任何基于jQuery的解决
JavascriptWebsectionnoreferrernoopenerconsole-application

javascript - 将 'arguments' 传递给 'apply()' 是否安全

假设我有以下代码(完全没用,我知道)functionadd(a,b,c,d){alert(a+b+c+d);}functionproxy(){add.apply(window,arguments);}proxy(1,2,3,4);基本上,我们知道apply需要一个数组作为第二个参数,但我们也知道arguments不是一个正确的数组。代码按预期工作,所以可以肯定地说我可以将任何类似数组的对象作为apply()中的第二个参数传递吗?以下内容也可以使用(至少在Chrome中):functionproxy(){add.apply(window,{0:arguments[0],1:argumen
amp39codeargumentsstrongjavascript

javascript - 依赖 Content-Type : text/plain to mitigate malicious javascript execution in response? 是否安全

我们有一个返回的web应用程序HTTP/1.1400BadRequest...Content-Type:text/plain;charset=UTF-8Content-Length:57Date:Tue,14Apr201519:24:54GMTConnection:closeInvalidprojectareaitemidalert(1086)据我了解,依靠Content-Type:text/plain;charset=UTF-8作为防御来阻止javascript执行是不够的。相反,应该对输出进行编码,并且应该对输入进行输入验证并丢弃垃圾。我正在寻找的是关于处理具有javascript
javascriptContent-TypeContentplainxss

javascript - 在新窗口打开的 Web 资源中使用 Xrm.WebApi 方法

我在新窗口中打开了一个HTML网络资源:Xrm.Navigation.openWebResource(webResource,windowOptions,data);这是一个HTML网络资源,它在头部加载ClientObject然后我有一些JavaScript试图检索ContactvarcontactId="8553DA63-11C9-E711-A824-000D3AE0CB84";varpromise=Xrm.WebApi.retrieveRecord("contact",contactId,"$select=contactid,firstname,lastname");`但这是失败
javascriptWebApicode34ENTITY_SET_NAMESdynamics-crmmicrosoft-dynamicsdynamics-365dynamics-crm-webapi

javascript - 如何使用 CRM 2011 web 服务和 JavaScript 在 CRM 2011 中执行 FetchXML?

我想使用CRM2011SOAP网络服务和JavaScript在CRM2011环境中执行FetchXML查询。我找到了很多文章likethisone显示如何使用2011环境中仍然可用的4.0Web服务,但我不想这样做。Thislink似乎表明IOrganizationService.RetrieveMultiple可以处理FetchXML。但是,我不想为此使用托管代码。我遇到了thislink这基本上显示了我想在RetrieveMultiple函数中执行的操作,但我希望能够传入我编写的现有FetchXML,而不是新的过滤器表达式。 最佳答案
2011javascriptnoreferrersectionnoopenerdynamics-crm-2011fetchxml

javascript - AJAX 跨域安全背后的基本原理是什么?

考虑到编写跨域获取数据的服务器端代理的简单性,我不知道阻止客户端AJAX跨域调用的最初意图是什么。我不是在寻求猜测,我是在寻找语言设计者(或与他们关系密切的人)的文档,了解他们认为自己在做什么,而不仅仅是给开发人员带来轻微的不便。TIA 最佳答案 防止浏览器充当反向代理。假设您正在浏览http://www.evil.com从您办公室的PC上,并假设该办公室中存在一个包含敏感信息的内部网http://intranet.company.com只能从本地网络访问。如果跨域策略不存在,www.evil.com可以向http://intran
javascriptAJAXsectioncomstrong

javascript - Web Workers 是一种安全的方式来沙盒不受信任的 JavaScript 代码吗

我想知道WebWorker是否是对不受信任的JavaScript代码进行沙盒处理的安全方法。例如,在绘图应用程序的上下文中,开发人员可以在其中实现新的绘图工具,您可以将他们的代码放入webworker中,并且每当用户单击Canvas时,向他们发送包含光标位置的JSON消息,以及图像数据数组,当脚本完成时,它会传回一条包含新图像数据的消息。这是否安全,或者是否存在我没​​有想到的风险? 最佳答案 DOM对Webworker不可用,但可以访问同源内容,例如indexedDB。请参阅我的相关问题:Canworkersbesecureeno
javascriptsectionnoreferrercodesecurityweb-worker
47484950515253