草庐IT

SECURITY

全部标签

security - HTML5 网络数据库安全

我正在研究使用HTML5的离线网络应用程序解决方案。该功能是我需要的一切,但存储的数据可以直接在浏览器中查询,因此完全不安全!有没有办法加密/隐藏数据以确保数据安全?谢谢,D. 最佳答案 HTML5中的本地存储有两个问题-一个网站读取另一个网站存储在用户浏览器中的离线数据直接查询您网站离线数据的最终用户对于1,浏览器对localStorage(或safari具有的sqllite数据库支持)实现相同的域限制,因此其他网站将无法访问您存储的数据。但是,请记住,如果您的站点存在XSS漏洞,则可能会窃取数据。对于2,你无法阻止它。它就像一个

php - 为什么告诉服务器将 HTML 解析为 PHP 是个坏主意?

关闭。这个问题是off-topic.它目前不接受答案。想改进这个问题吗?Updatethequestion所以它是on-topic用于堆栈溢出。关闭10年前。Improvethisquestion您知道可以使用.htaccess让服务器将HTML页面解析为PHP(在HTML文档中执行PHP代码)吗?嗯,有些人说这样做不好。为什么?有些人还说它会在您的应用程序中打开一个安全漏洞。怎么办?在文档到达浏览器之前,源代码仍然被删除,所以不可能是未经授权访问源代码的情况,对吧?

php - 为什么告诉服务器将 HTML 解析为 PHP 是个坏主意?

关闭。这个问题是off-topic.它目前不接受答案。想改进这个问题吗?Updatethequestion所以它是on-topic用于堆栈溢出。关闭10年前。Improvethisquestion您知道可以使用.htaccess让服务器将HTML页面解析为PHP(在HTML文档中执行PHP代码)吗?嗯,有些人说这样做不好。为什么?有些人还说它会在您的应用程序中打开一个安全漏洞。怎么办?在文档到达浏览器之前,源代码仍然被删除,所以不可能是未经授权访问源代码的情况,对吧?

html - 可以将 session ID 存储在 localStorage 中吗?

将用户的sessionID存储在localStorage中是否安全??在w3.orgsite,他们说UseragentsmustraiseaSECURITY_ERRexceptionwheneveranyofthemembersofaStorageobjectoriginallyreturnedbythelocalStorageattributeareaccessedbyscriptswhoseeffectivescriptoriginisnotthesameastheoriginoftheDocumentoftheWindowobjectonwhichthelocalStoragea

html - 可以将 session ID 存储在 localStorage 中吗?

将用户的sessionID存储在localStorage中是否安全??在w3.orgsite,他们说UseragentsmustraiseaSECURITY_ERRexceptionwheneveranyofthemembersofaStorageobjectoriginallyreturnedbythelocalStorageattributeareaccessedbyscriptswhoseeffectivescriptoriginisnotthesameastheoriginoftheDocumentoftheWindowobjectonwhichthelocalStoragea

javascript - createTextNode 对 HTML 注入(inject)和 XSS 完全安全吗?

我正在开发单页网络应用程序。我通过直接创建DOM节点来进行渲染。特别是,通过使用document.createTextNode("userdata")创建文本节点,将所有用户提供的数据添加到页面中。这种方法是否避免了任何可能的HTML注入(inject)、跨站点脚本(XSS)以及用户可能做的所有其他邪恶事情? 最佳答案 它创建了一个纯文本节点,所以是的,就目前而言。虽然使用不安全的方法从输入到createTextNode的任何channel获取数据,但可能会造成XSS问题。例如以下将是不安全:document.createTextN

javascript - createTextNode 对 HTML 注入(inject)和 XSS 完全安全吗?

我正在开发单页网络应用程序。我通过直接创建DOM节点来进行渲染。特别是,通过使用document.createTextNode("userdata")创建文本节点,将所有用户提供的数据添加到页面中。这种方法是否避免了任何可能的HTML注入(inject)、跨站点脚本(XSS)以及用户可能做的所有其他邪恶事情? 最佳答案 它创建了一个纯文本节点,所以是的,就目前而言。虽然使用不安全的方法从输入到createTextNode的任何channel获取数据,但可能会造成XSS问题。例如以下将是不安全:document.createTextN

javascript - 从 IFrame 更改父窗口的 URL

我遇到这样一种情况,我在两台不同的服务器上有Web应用程序,其中App1在IFrame中包含App2。App2中的任何链接都可以有target="_parent"属性,它允许这些链接在顶部窗口中打开。但是,我找不到任何方法在Javascript中获得相同的行为。我找到了thispage,它声称子框架可以使用parent.foo()在父框架上调用javascript,但这在IE8或FF3.5中似乎不起作用。我找到了thisSOquestion这解释了这个安全模型是如何工作的。但是我不能用Javascript做我可以用简单的做的事情,这似乎很奇怪。标签。有什么解决办法吗?我知道window

javascript - 从 IFrame 更改父窗口的 URL

我遇到这样一种情况,我在两台不同的服务器上有Web应用程序,其中App1在IFrame中包含App2。App2中的任何链接都可以有target="_parent"属性,它允许这些链接在顶部窗口中打开。但是,我找不到任何方法在Javascript中获得相同的行为。我找到了thispage,它声称子框架可以使用parent.foo()在父框架上调用javascript,但这在IE8或FF3.5中似乎不起作用。我找到了thisSOquestion这解释了这个安全模型是如何工作的。但是我不能用Javascript做我可以用简单的做的事情,这似乎很奇怪。标签。有什么解决办法吗?我知道window

html - Web 安全,是否存在隐藏字段(无敏感数据)的问题?

我正在和同事讨论。我们必须实现一些安全标准。我们知道不能在隐藏字段中存储“敏感信息、地址、出生日期”信息,但通常可以在您的应用程序中使用隐藏字段。例如:action=goback似乎为此类信息使用隐藏字段比将其添加到查询字符串中更安全。这是黑客可以用来攻击您的应用程序的少一条信息。 最佳答案 黑客可以使用拦截代理(或任何数量的工具)访问隐藏字段,就像访问查询字符串值一样容易。我认为使用隐藏字段没有任何问题,只要它们不用于任何敏感内容,并且您像验证来自客户端的任何其他值一样验证它们。 关于