问题标签 [browser-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 调试“不安全的 javascript 尝试使用 URL 访问框架 ...”
因此,错误消息是从不同域的 (i) 框架内访问父框架或窗口的安全限制。
(不安全的 javascript 尝试从具有 URL yyy 的框架访问具有 URL xxx 的框架。域、协议和端口必须匹配)。
但是,webkit 或 chrome 中没有显示生成此错误的行。
那么我如何获得侵犯此的行的列表呢?我知道我只能搜索,但这是否也适用于 cookie(document.cookie 等)?有不允许的事情清单吗?
编辑:另外,我需要使用什么来代替 $(window.top)?
谢谢。
jquery - jQuery:如何在 body-unload 事件期间找到用户在浏览器地址栏中输入的 url?
我有一个网址为http://www.crunchbase.com的网页
现在,如果用户通过在地址栏中输入新 URL(例如http://www.techcrunch.com )离开该网站,然后点击提交,则以下 Javascript 事件触发:
BeforeUnloadOnUnload.
在这两个事件中,获取 document.location 只提供旧 URL (http//www.crunchbase.com)。但是,有没有办法知道用户输入的新 URL(http://www.techcrunch.com)?
jquery - 尝试访问 localhost 时如何避免跨域策略错误?
我想在外部服务器上上传一个静态网站,该服务器将尝试从中获取 JSON 数据localhost:3000(服务器程序已经在用户的计算机上运行)。
我正在尝试使用这样的 jQuery 来做到这一点:
为什么我会收到跨域策略错误,我该如何阻止它们?我认为访问 JSON 数据应该可以消除那些跨站点错误?
更新 1
我刚刚按照建议尝试了带有回调的 JSONP,但这里有一个奇怪的问题:如果我添加一个指向localhost:3000/pageURL 的脚本标记,则加载回调并且在页面加载完成时正确显示数据,但这不是我的目标是。
如果我使用该方法尝试相同的事情$.getJSON,我仍然会得到与以前相同的错误:
XMLHttpRequest cannot load http://localhost:3000/page. Origin http://localhost is not allowed by Access-Control-Allow-Origin..
javascript - 浏览外部 iframe 的历史记录
作为从一系列旧网站到单个新网站的临时过渡,我不得不在 iframe 中显示多个网站,并且我正在使用 jQueryUI 的选项卡使其看起来不那么可怕。
但是,由于有多个选项卡,浏览器历史记录按钮可能会令人困惑和烦人,因此我尝试在每个选项卡顶部设置前进/后退按钮以浏览其历史记录。
问题是,它们都是外部 URL,我遇到了 XSS 的常见安全问题。我目前的尝试是
但是,正如预期的那样,我无权访问外部文档的history属性。
我能想到的唯一其他解决方案是在 iframesrc每次更改时对其进行跟踪,将其保存在列表中,然后每次都对其进行更改。如果可能的话,我宁愿避免这种混乱的方法。
那么,如何浏览外部 iframe 的历史,绕过 XSS 安全性?
html - 浏览器在哪里保存/存储自动填充数据
当我们选择记住密码时,浏览器在哪里存储密码和用户名。它总是cookies还是其他加密文件。浏览器的自动完成功能填充的数据来自哪里。它似乎不是来自 cookie,因为相同的自动完成信息有时会出现在网站字段中,而不是之前填写的字段中。是否可以从浏览器本身检索数据(敏感的以及一般的)?
javascript - 将数据传递到不同域中的 iframe
我与 salesforce 合作,我需要注入一个带有一些 javascript 逻辑的 iframe。该逻辑需要从父框架中读取一个变量。
问题是父 html 托管在 force.com,静态 iframe html 托管在 salesforce.com 和 Chrome 给我一个消息“不安全的 Javascript 尝试使用 URL 访问框架......”
我试图将变量放在 iframe 的属性中,并从内部(window.frameElement)到达它,但它不起作用。
有什么建议么?
java - 在struts2中提交表单的浏览器按钮调用动作
浏览器前进和后退按钮调用在struts2中提交表单的动作
(例如登录表单)。我只需手动单击表单的提交按钮即可提交表单。
以下代码可用于通过键入 url 来阻止调用操作。
但浏览器按钮充当单击提交按钮,因此它们提交表单。
任何帮助提前。谢谢。!
authentication - 如何提示“需要验证”对话框?
我希望能够使用浏览器窗口中弹出的“需要身份验证”对话框来保护我网站的(某些)页面,并在您尝试访问http://forums.digitalpoint之类的页面时询问用户名和密码.com/includes/config.php或路由器配置页面。我意识到它不是javascript,也许它与文件权限有关?或不?请解释。
javascript - Web Worker 会增加(或降低)安全性吗?
网络工作者是否缓解或加强了 JavaScript 和浏览器环境的任何已知安全问题?
security - 内容安全策略的 connect-src 指令是否允许您进行跨域请求?
在您的内容安全策略中指定connect-src指令是否会放宽浏览器的同源策略并允许您进行跨源 XHR 请求?还是该指令仅用于限制已经合法的 XHR(即同源呼叫或 CORS 启用的呼叫)?