草庐IT

SECURITY

全部标签

网络请求未知错误 CLEARTEXT communication to XX not permitted by network security policy 问题解决方案

问题:在进行网络请求时,日志中打印CLEARTEXTcommunicationtoXXnotpermittedbynetworksecuritypolicy原因:AndroidP系统网络访问安全策略升级,限制了非加密的流量请求AndroidP系统限制了明文流量的网络请求,之下的版本没有影响,所以okhttp3会抛出该异常。解决方案:方案1:降低目标版本,app/build.gradle中targetSdkVersion设置27或以下方案2:http请求改成https方案3:添加网络安全配置。1)在应用的res/xml/中创建network_security_config.xml文件,文件名可自

javascript - 用 Javascript 构建 HTML 字符串真的不安全吗?

托管我们网站的公司在部署之前审查了我们的代码-他们最近告诉我们:HTMLstringsshouldneverbedirectlymanipulated,asthatopensusuptopotentialXSSholes.Instead,alwaysuseaDOMapitocreateelements...thatcanbejQueryorthedirectDOMapis.例如,代替this.html.push('Clicktoplay');他们告诉我们去做varquizAuLink=$('a');quizAuLink.addClass('quiz-au');quizAuLink.da

javascript - 用 Javascript 构建 HTML 字符串真的不安全吗?

托管我们网站的公司在部署之前审查了我们的代码-他们最近告诉我们:HTMLstringsshouldneverbedirectlymanipulated,asthatopensusuptopotentialXSSholes.Instead,alwaysuseaDOMapitocreateelements...thatcanbejQueryorthedirectDOMapis.例如,代替this.html.push('Clicktoplay');他们告诉我们去做varquizAuLink=$('a');quizAuLink.addClass('quiz-au');quizAuLink.da

Electron Security Warning (Insecure Content-Security-Policy) 告警解决

ElectronSecurityWarning(InsecureContent-Security-Policy)告警解决Electron的Console控制台出现如下告警时:是安全策略的设置告警,意思是内容安全策略没有设置,或者使用了unsafe-eval的安全设置。如果想要不出现上述告警,有两种方式。方式一:index.html文件里设置安全策略在HTML主文件的头部引入安全策略的设置,采用如下设置,Electron的控制台就不会显示告警了:上面的安全设置允许从index.html所在的节点加载各种资源,如果要从其它网站/节点加载内容,则要调整设置,实际上,每种资源的导入使用都可以指定特定的

javascript - 检测浏览器是否使用隐私浏览模式

我正在为一家对安全性偏执的公司构建外联网。他们想确保(除其他外)他们的用户在浏览网站时在他们的网络浏览器中打开隐私浏览模式,这样就不会保留任何cookie或历史记录。我只找到了这个http://jeremiahgrossman.blogspot.com/2009/03/detecting-private-browsing-mode.html和https://serverfault.com/questions/18966/force-safari-to-operate-in-private-mode-and-detect-that-state-from-a-webserver理想的解决方

javascript - 检测浏览器是否使用隐私浏览模式

我正在为一家对安全性偏执的公司构建外联网。他们想确保(除其他外)他们的用户在浏览网站时在他们的网络浏览器中打开隐私浏览模式,这样就不会保留任何cookie或历史记录。我只找到了这个http://jeremiahgrossman.blogspot.com/2009/03/detecting-private-browsing-mode.html和https://serverfault.com/questions/18966/force-safari-to-operate-in-private-mode-and-detect-that-state-from-a-webserver理想的解决方

javascript - 使用 CORS Origin header 与 CSRF token 的 CSRF 保护

此问题仅与防止跨站点请求伪造攻击有关。它具体是关于:通过Originheader(CORS)进行的保护是否与通过CSRFtoken进行的保护一样好?例子:Alice使用她的浏览器登录(使用cookie)到https://example.com。我假设她使用的是现代浏览器。Alice访问https://evil.example,evil.example的客户端代码向https://example.com执行某种请求(经典的CSRF情景)。所以:如果我们不检查Originheader(服务器端)并且没有CSRFtoken,那么我们就有了CSRF安全漏洞。如果我们检查CSRFtoken,我们

javascript - 使用 CORS Origin header 与 CSRF token 的 CSRF 保护

此问题仅与防止跨站点请求伪造攻击有关。它具体是关于:通过Originheader(CORS)进行的保护是否与通过CSRFtoken进行的保护一样好?例子:Alice使用她的浏览器登录(使用cookie)到https://example.com。我假设她使用的是现代浏览器。Alice访问https://evil.example,evil.example的客户端代码向https://example.com执行某种请求(经典的CSRF情景)。所以:如果我们不检查Originheader(服务器端)并且没有CSRFtoken,那么我们就有了CSRF安全漏洞。如果我们检查CSRFtoken,我们

javascript - Uncaught Error : SECURITY_ERR: DOM Exception 18 when I try to set a cookie

当我尝试使用this设置cookie时,Chrome的开发者工具窗口出现以下错误jQuery插件:UncaughtError:SECURITY_ERR:DOMException18此错误是什么意思,我该如何解决?我在使用this时遇到同样的错误jQuery插件。 最佳答案 您很可能通过file://URI方案在本地文件上使用它,该方案不能设置cookie。将其放在本地服务器上,以便您可以使用http://localhost。 关于javascript-UncaughtError:SECU

javascript - Uncaught Error : SECURITY_ERR: DOM Exception 18 when I try to set a cookie

当我尝试使用this设置cookie时,Chrome的开发者工具窗口出现以下错误jQuery插件:UncaughtError:SECURITY_ERR:DOMException18此错误是什么意思,我该如何解决?我在使用this时遇到同样的错误jQuery插件。 最佳答案 您很可能通过file://URI方案在本地文件上使用它,该方案不能设置cookie。将其放在本地服务器上,以便您可以使用http://localhost。 关于javascript-UncaughtError:SECU