问题标签 [browser-security]

我在左侧导航面板上的电子邮件脚本......在“Brad's Secrets of Attraction”下将不会加载到主页上。它适用于所有其他页面。

直播网站：BradP.com 网站可能是 NSFW

这对我来说很奇怪。

有谁知道为什么？

当我们在 JS 中使用 getelementbyid 时，浏览器会要求允许或阻止脚本，是否有一段脚本可以自动允许或避免这种情况，或者是否有替代方法

我们使用 MS Word 作为私人公司网站上一些字段的拼写检查器，当 IE 安全设​​置正确时，它运行良好。（站点的区域设置为“受信任”，并且已修改受信任区域以允许控制在没有提示的情况下运行。）

我们使用的脚本创建了一个 word 对象，然后将其关闭。当对象存在时，一个 winword.exe 进程运行，但当 Word 对象关闭时它被销毁。

如果我们的站点未设置在受信任区域（具有默认安全级别的 Internet 区域），则创建 Word 对象的调用会按预期失败，但仍会创建 winword.exe 进程。我没有办法在脚本中与这个进程交互，所以进程会一直存在，直到用户注销（用户无法手动销毁进程，即使他们这样做也不是一个好的解决方案。 )

尝试创建对象的调用是...

因此，每次加载页面时，此代码可能会再次运行，从而创建另一个孤立的 winword.exe 进程。

wordApplication当然，在 catch 块中是未定义的。

我希望能够事先检测浏览器的安全设置，但我对此进行了一些搜索，认为这是不可能的。

这里的管理层对此很满意。只要 IE 安全设​​置正确，它就可以正常工作，并且可以很好地满足我们的目的。（我们最终可能会考虑拼写检查功能的其他选项，但这是快速、廉价的，并且可以完成我们需要做的所有事情。）

最后一个问题困扰着我，我想做点什么，但我没有想法，我还有其他更需要我注意的事情。

在我把它放在一边之前，我想我会在这里征求意见。

如何在不记录 asp.net 和 c#.net 的情况下限制要在具有相同 url 的其他浏览器中浏览的页面。

例如，我按照以下步骤操作：

1. 我正在登录一个用 asp.net 和 c#.net 开发的页面。
2. 我正在查看一个页面。让它成为管理页面。
3. 我正在复制管理页面的 url。
4. 我正在打开另一个浏览器窗口并粘贴 url。
5. 我能够在其他浏览器中看到相同的管理页面。

问题是如何限制在其他浏览器中打开管理页面，如果他们在用户当前正在查看管理页面时尝试在另一个浏览器中打开管理页面，那么它应该被重定向到登录页面？这怎么可能实现？.net框架的“登录”控制工具有什么可以做的吗？

在典型的 https web 场景中，我对浏览器和服务器之间的 SSL 握手有一点困惑：

到目前为止我所了解的是，在 SSL 握手过程中，客户端（在这种情况下为浏览器）使用公钥（从服务器接收的证书）加密随机选择的对称密钥。这被发送回服务器，服务器使用私钥对其进行解密（对称密钥）。现在在会话的其余部分使用此对称密钥来加密/解密两端的消息。这样做的主要原因之一是使用对称密钥进行更快的加密。

问题

1）浏览器如何选择并生成这个“随机”选择的对称密钥？

2) 开发人员（或/和浏览器用户）是否可以控制这种生成对称密钥的机制？

查找 HTTPS 页面请求的所有非 HTTPS URL 列表的最有效方法是什么？如果发生这种安全违规，每个浏览器都会提醒用户，但我找不到一种简单的方法来找到导致违规的确切 URL。

到目前为止，我发现的最简单的方法是使用 Firefox，但即便如此，它仍然不是很方便。首先，我可以右键单击，选择查看页面信息，单击媒体选项卡，然后滚动浏览 URL 列表。但是，这似乎只列出了图像文件，而不是 CSS 或 JS 包含的也会导致错误的。对于这些，我必须使用 Firebug 扩展，选择 Net 选项卡，然后手动将鼠标悬停在每个项目上以查看整个 URL。不幸的是，如果您有几十个媒体文件，这可能需要一段时间。有没有更好的办法？

我的网站（站点 1）启动一个窗口，其中包含来自另一个网站（站点 2）的 URL。我可以在任一网站上修改代码，但它们的域名不同。

我在站点 2 中启动的页面具有以下代码，当单击关闭按钮时，它会刷新打开它的页面。

当页面从站点 2 内启动时工作正常，但从站点 1 启动时，由于域不同，会出现以下 Javascript 错误：

拒绝获取 Window.document 的权限

是否有某种方法可以在 Javascript 中检查我是否可以访问开启者的文档？我想在站点 2 中保留刷新功能，但不会在站点 1 中导致错误。

我希望有这样的东西我可以写：

我有一个包含 Flash .FLV 播放器的 HTML 文件；然后加载给定的 FLV 视频并播放它。我们的想法是所有这些文件都作为应用程序安装的一部分存储在本地 PC 上，我们使用 HTML/flash 作为帮助/手册。

在我的电脑上它工作正常，但在用户的电脑上没有显示任何内容。但是，如果我在线托管完全相同的文件结构并向他们提供 URL，它就可以完美运行。

我猜这是某种安全问题，但不知道如何解决。正在使用的浏览器实际上是一个 XULRunner 应用程序，即它是 FireFox 3 引擎，但实际上不是 FF。由于我的 PC 是开发人员 PC，因此我过去完全有可能在另一个项目上做过一些使它工作的项目，而不是我的 PC 在某些方面是特别的。

作为参考，HTML 中包含以下内容 - 这是从某些 3rd-party 应用程序生成的：

任务：

我有一个 Windows 可执行文件，例如convertvideo.exe. 它是用于特定视频转换的命令行工具。

我希望我的客户能够在任何机器上轻松使用它，而无需安装。用例应该是：客户端访问一个托管 silverlight 应用程序的网页。应用程序告诉客户端按下“将可执行文件放入临时文件夹”按钮。按下时，可执行文件将部署（下载、复制）在客户端计算机上。然后 silverlight 应用程序要求用户提供要转换的文件列表，以及结果文件的路径。用户按下转换，silverlight 应用程序（在客户端计算机上）convertvideo.exe使用提供的参数运行以进行转换。

问题：

Silverlight 应用程序在浏览器中的文件系统访问权限是否可行？

我一直在尝试使用浏览器中可用的本机登录提示：

并一直关注Steven Sanderson 的博文。

正如博客中提到的，一旦用户输入他们的登录详细信息，浏览器就会将Authorization: Basic username:password所有未来请求中的标头发送到登录 URL。这意味着如果用户注销但没有关闭浏览器窗口，则下次访问登录页面时，他们会在访问登录页面时自动登录。浏览器有效地存储身份验证详细信息，直到浏览器关闭 - 让您的帐户对未经授权的访问开放。

有没有办法让浏览器忘记授权信息，这样用户在重新输入他们的详细信息的情况下就无法再次登录？