草庐IT

安全日志

全部标签

javascript - 使用 JavaScript API 的 Parse 中的对象安全性 - 将用户绑定(bind)到保存的对象

在Parse中管理实体时,我需要将许多对象绑定(bind)到当前登录的用户。我的担忧是:没有后端代码确保传入的User是当前登录的用户。用户可以将任何新创建的对象分配给其他用户。他们有thisexampleTODOapp在thedocumentation中未显示云代码以确保Todo分配给的User是当前登录的用户。现在我浏览了thecode我开始认为,无论何时保存一个对象,它都会与用户相关联。谁能解释为什么这个应用程序工作以及它如何将Todo与User相关联?更新:没关系,我在他们的代码中找到了指定用户保存待办事项的位置。我的问题是,是什么阻止用户编写使用其他用户ID保存待办事项的代码
javascriptcodeuserstrongnode.jsbackbone.jsmarionetteparse-platform

javascript - 在 angular js 应用程序的 tomcat 访问日志中获取 session ID

我们正在尝试使用server.xml中的'%S'在访问日志中打印sessionID。该应用程序使用Angularjs开发。但是它会打印"-"而不是sessionID。server.xml访问日志:sessionId=-host=127.0.0.1--[12/May/2017:13:44:32+0100]"GET/application/img/sort-icn-down.pngHTTP/1.1"2001114angularjs应用程序是否自动创建sessionID? 最佳答案 SessionID仅在您的服务器端应用程序创建sessi
javascriptangularsessioncode34angularjstomcat

javascript - 为什么 console.log(document.getElementById( 'blah' ))) 在 Chrome 中给出不同的日志消息?

$(document).ready(function(){console.log(document.getElementById('blah'));})我真的很想知道为什么有时我会...其他时候我得到...似乎随机记录不同。 最佳答案 这看起来确实是随机的,至少在Chrome中是这样。如果您想在Chrome控制台中以一种或另一种方式强制使用它,您可以使用console.dir和console.dirxml。console.dirxml将强制输出类似于您的第一个示例,采用xml格式console.dir将像您的第二个示例一样以对象表示
getElementByIdjavascriptstrongsectionconsoledom

javascript - 什么是 JSON 安全对象?

在凯尔辛普森的书中YouDon'tKnowJS:this&ObjectPrototypes,他写了这篇关于如何复制对象的主题:OnesubsetsolutionisthatobjectswhichareJSON-safe(thatis,canbeserializedtoaJSONstringandthenre-parsedtoanobjectwiththesamestructureandvalues)caneasilybeduplicatedwith:varnewObj=JSON.parse(JSON.stringify(someObj));Ofcourse,thatrequiresy
javascriptJSONblockquotecode

javascript - 为什么这个内联 javascript 没有被内容安全策略阻止?

我有一个页面,我像这样设置内容安全策略的脚本源:script-src'self'*.uservoice.com*.intuit.comajax.googleapis.comlocalhost:*当我使用我自己创建的用于测试的硬编码内联脚本加载页面时,它像预期的那样被阻止:RefusedtoexecuteinlinescriptbecauseitviolatesthefollowingContentSecurityPolicydirective:"script-src'self'*.uservoice.com*.intuit.comajax.googleapis.comlocalhost
javascript内联sectioncodescriptgoogle-chromexsscontent-security-policy

javascript - 在javascript中重命名文档变量是否安全

我注意到GoogleClosureCompiler没有将document重命名为d以减少空间。我想不出这会破坏代码的情况(即document指向其他东西)。实际上,window也是如此。是否有理由以这种方式保护文档?==编辑==通过重命名,我正在考虑重新分配它。示例如下。vard=document;varobj1=d.getElementById("obj1");varobj2=d.getElementById("obj2");...//withenoughusesofdocumentsoitmakestoreassignitsize-wise. 最佳答案
javascript命名codesectiongoogle-closure-compiler

javascript - 从 Javascript 检测损坏的锁图标(混合安全/不安全内容)

我正在努力使网站在HTTPS下完全正常运行。作为其中的一部分,我想确保我们永远不会“打破锁”。也就是说,我们不应该在SSL页面上加载非SSL内容,这可能会触发警告或其他指示器,具体取决于浏览器。为了验证情况是否如此,我想做两件事:编写Selenium测试来验证各种操作不会破坏锁。在JS中编写日志记录代码,在用户session期间检查锁是否被破坏,如果是则记录回服务器。有没有什么方法可以在JS中查看浏览器的HTTPS锁图标是坏了还是没坏?或者等价地,当前页面内容的混合/非混合状态? 最佳答案 您无法从JavaScript本身检测到这一
javascriptsectionhttpsreportsecuritysslselenium

javascript - 内容安全政策能否与 Google Analytics 和 AdSense 兼容?

有谁知道如何让CSP(即使使用default-src通配符)工作,以便现代Analytics脚本将网站每页数据(不仅仅是主页数据)发送到网站所有者的帐户,从而显示AdSense广告?我为我的网站尝试了多种CSP变体,包括的.htaccess文件中提出的变体,但都阻止了GoogleAnalytics生成每页数据(主页除外)和GoogleAdSense从接受任何页面上的广告。Google的机器看不到Analytics脚本,尽管Google的人总是在我的网站源代码中看到它。即使将CSPdefault-src设置为星号通配符也失败了。在谷歌论坛和非谷歌论坛上询问都没有任何效果,除了人们说问题出
javascriptAnalyticsGooglecodehttps.htaccessgoogle-analyticsadsensecontent-security-policy

javascript - Vue router 路由的安全性

我现在正在学习Vue2周,但我找不到这个关于路由安全性问题的答案。当我在Vue中使用元字段和路由守卫保护路由时,就像在考试中一样,我想知道客户端如何才能看到组件仍然存在。constrouter=newVueRouter({routes:[{path:'/foo',component:Foo,children:[{path:'bar',component:Bar,//ametafieldmeta:{requiresAuth:true}}]}]})router.beforeEach((to,from,next)=>{//checkifauthenticatedbyjwtfromstoreo
javascriptrouterstrongsectionvue.jsvuejs2vue-router

javascript - 什么会导致 undefinedpageWebRequestEvents.js 出现在我的日志中?

我们在日志中发现了这个极其罕见、极其奇怪的错误。当一些人(我相信大多数人在Safari上)试图访问我们网站上的各种页面时,他们会收到错误消息并且无法继续。当我检查日志时,我看到其中包含undefinedpageWebRequestEvents.js的URL。我四处搜索,但似乎找不到任何解释这可能是什么或可能导致它们的原因。此站点上的javascript非常少,并且成千上万的其他人没有看到此错误(包括我们-我们无法复制),因此不胜感激。 最佳答案 FirefoxLastPass扩展将此字符串作为onloadwff.js的一部分:t.s
undefinedpageWebRequestEventsjavascriptcodesectionlisafarichromium
25262728293031