问题标签 [browser-security]

我有一个商业网络应用程序，需要从其他各种网站中提取信息。对于大多数站点，用户只是指示服务器提取数据（使用 .NET 的 HttpRequest 或 Selenium）。

但是对于一些不友好、大量使用 Javascript 的网站，我们的用户必须手动访问该网站，导航到正确的位置，然后复制并粘贴到我们的应用程序中。

除了小书签之外，我们的页面还有什么方法可以显示加载了源网站的 IFRAME，允许用户在框架内导航，然后捕获 IFRAME 的正文？

由于 IFRAME 中的站点不在同一个域中（甚至不接近），我似乎无法解决浏览器跨站点脚本限制。我尝试过使用 HTML5 的“沙盒”功能，但它似乎只允许从 IFRAME 到主机站点的另一种方式进行通信（通过“allow-same-origin”），这对我没有用。此外，如果有问题的站点尝试将其框架加载到顶部上下文，它也不起作用。

我理想中寻找的是一种解决方案，它允许将浏览器配置为隐式信任我的网站（它是一个 Intranet 应用程序）并允许它访问任何框架的内容。这至少会让我进入球场。如果我可以让 iframe 将“顶部”上下文重新定义为它自己的框架，那么奖励积分，因此托管站点在框架内正常运行。

我正在开发一个具有许多仅限 HTTPS 的区域的电子商务应用程序。这个特定的错误只发生在 IE 中（至少 10 个，没有尝试过其他的）并且它只发生在整个应用程序的一个 HTTPS 页面上。

根据研究，我认为这是 IE 的混合内容警告。这很令人困惑，因为 IE 是唯一与此页面有任何问题的浏览器。所有其他相关浏览器都不会抱怨任何混合内容。

任何人都可以了解 sslnavacancel.htm 是什么吗？或者，如何进一步深入了解究竟是什么资源导致了这个问题？

提前致谢。

We have a couple of internal applications behind firewall which is not accessible to internet. We are trying to setup an internet accessible portal (which can also access our internal applications) and trying to provide menus to these two applications and display them via iframes.

Here are the application details:

• Portal - Tomcat+Apache

• Internal Applications - one is a node.js app and the other is a J2ee+tomcat app

• Host servers - different for all the three applications

We are facing two issues here:

1) The internet accessible portal is secured (HTTPS). But, the internal applications are not secured ie.,HTTP. so, the browser shows the warning message "some of the content are unsecured" and blocks the application. Is there a programmatic way to suppress this warning without manually changing the browser settings?

2) The internal applications are behing the firewall, but our portal is internet accessible as well as can access the internal applications. Currently the application is not displayed through internet. How should we implement the portal so that we can byepass the firewall?

Appreciate your inputs.

我们正在开发 Firefox 浏览器扩展。我们能够成功安装 XPI 并访问我们开发的功能。

主要的逻辑是用 JavaScript 和 HTML 文件编写的。所以任何人都可以解压 XPI 文件并查看源代码。如何防止这种情况？Mozilla 是否提供任何加密机制？

将为其他浏览器（如 Chrome）开发相同的功能。

我开始使用 JSONP 进行开发，以允许我的代码嵌入到另一家公司的站点中并调用我的服务器，而不会被同源策略阻止。

我的问题很简单：使用这种技术，任何可以注入 javascript 的人都可以轻松地在<script>标签中使用 JSONP 从他想要的任何地方加载内容，那么如果有这种简单的解决方法，同源策略的意义何在？

我知道服务器必须回复与 JSONP 兼容的内容，但在我看来，做他想做的任何事情都很容易。

如果您有“粘贴”插件，则似乎不可能复制文本然后使用 Firefox 的右键单击粘贴将其粘贴到 TinyMCE 编辑器中。为什么是这样？

我在用着：

• Firefox 33.1.1（尽管用户抱怨 FF 29 的问题）
• 带有“粘贴”插件的 TinyMCE 4.1.1

我可以右键单击粘贴到这些中而不会出错：

• 具有contenteditable="true"属性的元素（与 TinyMCE 方法相同），在http://html5demos.com/contenteditable上测试
• 一个普通的文本区域
• 没有“粘贴”插件的TinyMCE 4.1.1

早在 2007 年，用户就在TinyMCE 论坛上进行了讨论，并提到了一条警告说“复制/剪切/粘贴在 Mozilla 和 Firefox 中不可用”，我在 FF 33 中没有收到。没有人提到为什么会出现这个问题， TinyMCE 管理员声称“这不是错误”。我很想知道导致这种情况的 Firefox 或 TinyMCE 发生了什么变化，以及为什么（安全性？）。

这个问题 - tinymce mouse paste not working - 有一个关于如何解决问题的答案：删除“contextarea”插件或任何基于它的插件。但我很想知道为什么会发生这种情况。

如果我访问的页面被存储在本地计算机上的某个地方，我会喜欢它，为这个功能分配了一定数量的空间，一旦它满了，旧的东西就会被删除。理想情况下，如果我访问https://golang.org/之类的网站并单击文档，当我再次离线时，我应该能够访问所有这些内容。为什么不？

理想情况下，我喜欢这样的想法，即我可以直接访问该网址并表现得像我有互联网一样。我已经接近使用siteucker执行此操作并编辑我的主机文件以创建一种“内部网”。但我永远记不起我访问过的页面，或者捕捉到所有这些页面。

我可以从安全的角度理解，让服务器与域不同步可能不是最好的。如果您可以访问路由器，这似乎是一种获取人们 Facebook 密码的简单方法。如果这是问题所在，我们可以view-source:google.com在 chrome 中添加 url，使其类似于offline-cache:golang.org，因此如果我们处于离线状态，golang.org 可能会重定向到该地址。

浏览器不应该能够处理这个吗？这已经存在了吗？如果没有，是否有理由不这样做？

我试图以这种方式使用控制台在现有网站上包含 JQuery：

然后我得到了这个错误：

在开发过程中，我可能想包含外部 Javascript。我可能不想复制粘贴整个 JQuery 代码，因为它看起来不整洁。如何为开发目的覆盖内容安全策略？

这对于快速测试非常有用。我可能想稍后将我正在编写的脚本转换为浏览器扩展。

注意（更新）：我正在现有网站上编写脚本，并且无法控制设置 Content-Security-Policy 标头。

我读到无扩展名的图像 URL 通常是可以接受的正确的内容类型标头集。

但是，如果脚本生成图像输出并设置内容类型，但图像标签中的 URL 是.php例如，任何浏览器都会拒绝该请求，因为它具有潜在的恶意吗？

例如：

和

如果我通过 HTTPS 加载https://example.org包含对 HTTP 资源的引用的页面，例如

我了解浏览器拒绝加载脚本，除非它是src="https://example.org/script.js".

我的问题是，如果我从to实现 301 重定向，浏览器会遵循重定向并通过 HTTPS 加载脚本，还是仍会拒绝加载它？http://example.org/script.jshttps://example.org/script.js