问题标签 [browser-security]

我正在使用 ckeditor 和 ckeditor 的 uploadimage 插件，它们可以帮助我在粘贴或拖放到 ckeditor 时上传图像。但是，当我从包含一些图像的 word 中复制内容并将其粘贴到 ckeditor 时，它并没有上传该图像，因为它除了图像之外还有很多其他的东西。现在粘贴后我有来自用户本地的图像路径。我可以使用 ckeditor 或通过 javascript 从用户的本地路径将这些文件上传到我的服务器吗？

http://docs.ckeditor.com/#!/guide/dev_file_upload这是我正在谈论的插件。

例如，我想检查浏览器中是否启用了 TLS 1.0/1.1/1.2。如何使用 Javascript 进行检查？

我有一个带有 webBrowser 控件的 Windows 窗体桌面应用程序。我导航到服务器上的一个目录，webBrowser1.Navigate(new Uri("\\\\srvername\\share\\directory\\"))以允许用户从该目录打开文件。

当他们双击文件时，他们每次都会收到一条 Windows 安全消息。

当他们单击确定时，文件将根据需要打开。

如果我设置导航到本地目录webBrowser1.Navigate(new Uri("C:\\Temp\\"));，我不会收到消息。

是否有一种编程方式来防止这种情况显示，或者这是否必须作为受信任的站点添加到浏览器中？我们网络上的标准用户无权添加受信任的站点。我试图在 IE 的本地 Intranet 部分中检查“包括所有网络路径 UNC”。

我努力了

但这不起作用，因为它似乎意味着控件中显示的网页发生脚本错误。

当手动输入输入值时：
无论输入字段的类型如何，上面的代码都能正常工作并提醒正确的值。

当浏览器自动填充输入值时：
当输入字段为文本类型时，代码可以工作并提醒正确的值。如果是密码字段，它会提示空字符串！

这种行为是因为浏览器的安全策略吗？或者有什么可能的解决方法？我在 Chrome 浏览器中尝试过。

我想在asp mvc中停止弹出记住我的框（以编程方式）我尝试了自动完成=关闭放置密码文本框并将其设置为隐藏但没有解决方案有效。

试过了

试过了

试过了

试过了

这些都不起作用，请指导我

过期是 cookie 的一个属性。在后续请求中，属性不会被发送回服务器。行为良好的浏览器不会发送过期的 cookie，但恶意浏览器可能会忽略过期并发送 cookie。服务器如何判断浏览器是否真正遵守它最初作为 cookie 属性发送的过期日期？

是否像将过期日期存储在 cookie 中一样简单？然后，如果 cookie 被签名，浏览器可以信任该值并根据自己的时钟检查它。

是否可以从浏览器（无服务器端代码）向本地网络上的计算机发送 LAN 唤醒命令。我完全控制了网络。我想通过 wifi 从平板电脑上运行的浏览器到同一 LAN 上的有线计算机。我找到了一些 Node.JS JavaScript 代码：https ://github.com/agnat/node_wake_on_lan/blob/master/wake_on_lan.js 但我不知道它是否可以在浏览器中运行。

在我的 Web 应用程序中，我使用 owasp ZED 工具来检查安全漏洞。我发现没有设置 X-Content-Type-Options 和 Content-Type 标头。

在我的交叉过滤器中，我在 HTTPResponse 对象中添加了标头

现在，当我尝试通过浏览器访问应用程序时，它会显示 HTML 的来源。我以为我添加了 text/plain 是错误的，我尝试了 text/html ，但错误仍然存​​在。

如果我做错了，谁能帮帮我？

此查询源于我希望 chrome 扩展程序中的 javascript 知道 url 重定向到的位置而不跟随它。如果它与域列表匹配，我想强制扩展的 url 使用 https。

javascript 在执行重定向之前无法知道重定向位置，这没有技术原因。

我在这里读到 xmlhttprequest 规范明确指出重定向应该是透明的。答案发布者认为这是因为当时链接缩短并不普遍，这是最简单的选择。

下一个答案提到了 fetch API。我很高兴得知它可以“手动”处理重定向，但很快感到失望的是，由于模糊的安全问题，当手动处理重定向时，您会得到一个高度过滤的“opaqueredirect”对象，它不会给您重定向目的地。这是故意的。

有哪些安全问题？Javascript 可以轻松查询数十个第三方服务中的任何一个以获取重定向位置，并且已经可以更改页面上的每个链接，为什么它不能在知道重定向到哪里的同时取消重定向呢？如果允许这样做，有一个“坏事”的具体例子会很有帮助。

嗨，我一直在为我的 ASP.NET Core Web API 和 JS 客户端寻找 IdentityServer4。我在这里参考官方文档。

这就是我想做的。我想拥有 3 台主机：

1. 身份服务器
2. Asp.net 核心 MVC Web API
3. 将调用 API 的 Javascript 客户端

我意识到我可以拥有一个AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,据说更安全的授权类型的客户端。如果我将此客户端与 web api 一起使用，访问令牌将不会通过浏览器通道，而是通过所谓的“后端通道”，我可以使用自定义授权对授权控制器操作进行身份验证。

另一方面，为了有一个通过 API 调用访问 API 的 js 客户端，我需要AllowedGrantTypes = GrantTypes.Implicit通过浏览器公开访问令牌。

问题是我想在提交给 API 的用户上下文中使用声明来授权对特定控制器操作的访问。此类声明的存在与否将表明是否允许登录用户访问操作。我希望混合授权类型提供的“后端通道”可以保护黑客注入索赔。我不想重新检查在用户上下文中收到的声明的有效性。

由于这些问题，我正在考虑忘记 JS 客户端，而只是在与 API 相同的主机上实现 MVC Web 应用程序，因为这在 ASP.NET Core 中非常相似（如果你知道我的意思 - 请参阅 Shawn Wildermuth 的关于使用 ASP.net Core、MVC6、EF Core 和 Angular 构建 WebAppp 的PluralSight 课程）

我假设使用Implicit授权类型会暴露太多安全风险？我错了吗？是否有与 JS API 通信的安全“后端通道”？或者我在这里错过了什么？