草庐IT

信息系统安全

全部标签

javascript - 从浏览器中的安全 token 读取数据

我想编写一个JS函数以从浏览器访问存储在hardwaresecuritytoken上的公共(public)数据。插入USB端口。具体来说,在所有用户都有安全token的内部网中,我想要某种登陆页面,它会要求用户输入他/她的安全token凭据(插入USB端口),然后从该token中读取公共(public)信息(我并不是真的需要所有这些信息,但我主要对token中加载的用户名、证书名称及其到期日期感兴趣)和将它们加载到网页中(以显示)。我对此类安全设备几乎没有经验,但我认为这不是一个非常复杂的问题(尽管“谷歌搜索”未能让我找到正确的工作方向)。谢谢。 最佳答案
javascripttokenstrongsectionsecurityusb

javascript - 如何阻止 Chrome 请求保存信用卡信息

我正在尝试找到一种方法来以编程方式禁用Chrome的“你想保存此信用卡信息”提示。我已经尝试将autocomplete="off"添加到所有输入以及表单中,但这个提示仍然出现。有没有办法以编程方式禁用此功能?不幸的是,这不同于Disablebrowser'SavePassword'functionality因为这一切都围绕着欺骗Chrome认为输入字段不是密码字段/简单地使用autocomplete="off",但是Chrome不再承认autocomplete="off".这是我指的横幅: 最佳答案 我所做的是使用信用卡号的隐藏字段
javascriptChromesection卡号codeformsgoogle-chromeautocomplete

javascript - 为什么我可以在 JS 中设置样式而不违反内容安全策略 style-src 'self' ?

设置style-src至'self'通过style禁用内联样式标签或style属性。这按预期工作。添加style通过JS的元素也被阻止。但我真的很惊讶我仍然可以设置HTMLElement的属性的style目的。例如,这不会触发CSP违规:document.getElementById('test').style.backgroundImage='url("image.png")';这如何防止攻击,如描述的那些here或here? 最佳答案 大概是因为如果您已经允许脚本注入(inject),样式修改是您最不担心的事情。样式元素和属性被
中设javascriptcodesectionstylecsscontent-security-policy

javascript - 如何在不同操作系统上使用源映射文件

我在生产服务器和开发服务器上都对js文件使用源映射,所以我只是从本地存储加载它。在这种情况下,我在文件末尾使用下一个字符串//#sourceMappingURL=file:////var/www/static/。它指向我本地的商店。但我想在Linux和Windows操作系统上都使用它。所以对于Windows,这个字符串是无效的file:////var/www/static/,我应该使用file:////C:/www/static/。在这种情况下在Linux浏览器上可以得到这个文件。是否有可能使用一些在两种操作系统中都适用的通用引用 最佳答案
何在javascriptsectioncodefilesource-mapsgulp-sourcemaps

javascript - CSS 谷歌地图自定义信息窗口

我一直在使用来自http://gmaps-samples-v3.googlecode.com/svn/trunk/infowindow_custom/infowindow-custom.html的代码,这是目前谷歌关于如何在MapsAPIv3中创建自定义InfoWindow的最佳示例。我一直在研究它,到目前为止我已经接近工作了,除了一件事,它是div容器,文本内容不会扩展以适应内容,所以它只是掉落而不是扩大气泡。如果我给内容容器一个固定的像素宽度,它可以正常工作,但我无法根据其中的文本量来扩展它。我已经在这个问题上停留了一段时间。任何帮助将不胜感激!这是HTML页面Gayborhood
自定信息窗this34varjavascriptcssgoogle-maps

javascript - JavaScript/jQuery 中的安全 Twitter OAuth 身份验证(加上服务器端助手)

在JavaScript中安全地进行TwitterOAuth身份验证的最佳方法是什么?我正在尝试编写一个程序让用户分析他的Twitter使用情况和关注者/friend。我已经编写了一个使用pythontweepy模块工作的服务器端版本。我想与人们分享它,但我希望它在浏览器中运行以实现可扩展性,而不是在我的小型服务器上运行。我看到另一个问题,结果是不推荐也不安全:JavaScriptOAuthsigninwithTwitter如果在应用的JavaScript中发送消费者(应用)secret或访问(用户)secret,这就有意义了。但为什么我不能像这里一样在服务器端构建URL-http://
javascriptsectionoauthTwitterjquery

javascript - 了解 HTTP 请求中的引荐来源网址/引荐来源网址的安全方法是什么?

我正在使用nodejs写一个图片上传服务。付费客户将能够将图像文件发送到我在服务器上设置的端点。但是,当每个请求进来时,我需要确认它实际上是一个付费客户发出请求。我想过让客户给我他们的域名,我只检查refererheader。但是,有人可以轻松地欺骗refererheader并在不付费的情况下使用我的服务。SaaS开发者如何面对这个技术难题?是否可以在不要求我的客户拥有一些服务器端代码的情况下解决这个问题? 最佳答案 您是在为网站构建外部图像托管服务,还是要共享一些必须私有(private)且安全的内容?如果是前者,请继续阅读。当然
引荐javascriptsectionstrongheaderhttpnode.jscross-domain

javascript - JavaScript 中的 canvas ImageData 是否包含 EXIF 信息?

来自文档ImageData接口(interface)表示Canvas元素区域的底层像素数据我想知道ImageData是只有像素数据还是像素数据+元数据?元数据是指任何EXIF数据,例如方向、分辨率、文件类型或dpi。问题每当我将EXIF方向不是1的图像绘制到Canvas并将其作为ImageData读回时,当我将ImageData转换为DataURL时,生成的ImageData未在图像标签上正确对齐。在大多数浏览器中,移动和桌面浏览器都会出现问题。 最佳答案 不保留任何JPEG元数据,因为此元数据特定于JPEG文件本身。根据定义,Ca
javascriptsection像素数ImageDatacanvashtml5-canvasexifgetimagedata

javascript - Facebook 突然可以安全地防止 JSON 劫持了吗?

众所周知Facebookusesjavascriptresponses(JS,不是json)这是前缀while(1)&for(;;);为了防止脚本标签在旧浏览器为beingoverloadedwiththeirArrayctor&Objectctor.时窃取json数据但是从最近的尝试来看,情况似乎不再是这样了(对于friend列表,我确定它被使用了)注意现在,内容类型是:content-type:application/octet-stream但他们为什么要这么做?现在安全吗?(我知道它适用于较旧的浏览器,但仍然...)。我知道[..]的ctor有问题。但是{..}呢?的负责人?问题
javascriptFacebookcodenoreferrersectionjsonsecuritycross-domain

javascript - 如何使用 JavaScript 从 WebKit 浏览器访问本地文件系统?

我正在使用WebKit呈现我的HTML页面。现在,假设我正在浏览页面,我在阅读时选择了一些文本,并想在我的本地文件系统上保存/写下所选文本。有什么方法可以使用WebKit访问(读/写)本地文件系统?如果是Firefox,我可以使用XPCOM、nsiFile访问本地文件。谁能建议我应该使用什么来对WebKit做同样的事情? 最佳答案 看看FileAPI.支持取决于您使用的Webkit风格,但nightlies应该有一些支持。 关于javascript-如何使用JavaScript从WebK
javascriptsectionWebKitstackoverflowfilesystems
30313233343536