问题标签 [cross-site]

我有一个在端口：8080 上运行的 JBOSS 服务器和一个在：8099 上运行的 CherryPY 服务器

如果我尝试执行以下操作

编辑1：

这就是我设置cherryPy服务器的方式

但是，我在 Chrome/Firefox/IE 中仍然遇到同样的问题

我计划开发一个项目，该项目将可以使用 ajax 访问放置在不同域中的不同服务，以便它可以从每个域中获取不同类型的数据。

一开始我认为由于无法完成跨站点脚本，所以我将不得不使用不同的方法或者可能使用桥接器（对我的服务器进行调用，这将在幕后调用其他人）但是桥将成为性能问题。

但后来我使用 Google 的 API 测试 Angular 并意识到它可以正常工作。我的意思是，我可以使用从 googleapis.com 加载的脚本对我的本地主机进行 AJAX 调用（尽管我知道本地主机可能只是因为它是本地主机而工作）。

现在我想知道是否有可能有一个带有对其他域的 ajax 调用的页面，例如：mail.mydomain.com、profiles.mydomain.com、media.mydomain.com 等等。如果是这样，可以这样做还是有任何限制？因为我记得几年前由于跨脚本块，我在做类似的事情时遇到了麻烦。

以防万一，我打算使用 Angular 来获取数据并将其绘制在视图上。

谢谢。

I understand Cross-Site Request Forgery and found numerous blogs,articles on web to handle it in asp.net mvc,but have not got a decent links,helpful solutions to deal with CSRF attacks in asp.net web applications.I have ran a security tool on my website,and its reporting the cross site request forgery and showing the risk

It is possible to steal or manipulate customer session and cookies, which might be used to impersonate a legitimate user, allowing the hacker to view or alter user records, and to perform transactions as that user

My question is how to deal with CSRF attacks in ASP.NET web applications?

我正在使用谷歌地图 api，在页面上我有这个

现在，正因为如此，正如您在此链接中看到的那样

https://fonts.googleapis.com/css?family=Roboto:300,400,500有字体文件 - 包含在 url 中，我知道 AFA 会导致问题。在萤火虫中它显示

跨域请求被阻止：同源策略不允许在 https://themes.googleusercontent.com/static/fonts/roboto/v11/2UX7WLTfW3W8TclTUvlFyQ.woff读取远程资源 这可以通过将资源移动到同一域或启用 CORS。

即使尝试在我的 htaccess 中添加它，也不起作用，它仍然在 firebug 中显示错误

apache 的 headers mod 已启用，我设置了其他 headers 并且没关系。我使用 xampp 1.7.4。我也不想将 css 文件和/或字体移动到我的本地文件中，因为 google 将来可能会进行更改。

qsn1：如何处理这个错误。

qsn2：为什么它只显示那些字体文件的错误？因为例如我也包含了google maps api的脚本，这没有问题。

谢谢

在我的 javascript 函数中，我使用 location.href 如下 location.href = "../Floder1/result.jsp";，它工作正常，但是当我使用强化工具时，它显示跨站点脚本which can result in the browser executing malicious code. 如何保护它免受跨站点脚本的影响。非常感谢，您的回答将不胜感激。

语境：

我有一个 ASP.NET WebForms 网站（不是 Web 应用程序），我正在使用新的 CMS 在新的 ASP.NET MVC Web 应用程序中重新实现它。这些站点将具有相同的二级域，但主机名不同（例如 site1.site.com 和 site2.site.com）。

WebForms 站点非常大，因此我将在很长一段时间内将 WebForms 站点的部分内容迁移到 MVC 站点。一旦 WebForms 站点的所有内容都移至 MVC 站点，WebForms 站点将停用，并且两个主机名都将指向 MVC 站点。

问题：

WebForms 站点使用基本身份验证，MVC 站点使用表单身份验证。两者都在后端与相同的身份验证服务通信，并从用户那里获取相同的凭据。

我不希望用户必须单独登录这些站点；他们应该只会看到一个登录提示。如果两个站点都使用表单身份验证，这似乎是可能的，但是当一个站点使用表单身份验证而另一个站点使用基本身份验证时，是否可以进行设置？

具体来说，用户是否可以使用表单身份验证登录站点并在基本身份验证站点上进行身份验证，反之亦然？

我必须将一些坐标发送到另一个打开地图地址的窗口

但是当我试图访问地图窗口的属性时，

…………

浏览器给了我"Error: Permission denied to access property 'atlas'"。

我知道这种情况属于“跨站点脚本”的情况，但是如何将坐标发送到地图窗口以向用户显示？

谢谢

自从我编写任何代码以来已经过去了 3 年，如果这看起来很愚蠢，请原谅我。我可以在我无法控制的外部托管网站（比如http://www.example.com ）上发布内容。我的内容可以是 HTML、CSS 和 JS。我在我的内容页面 ( http://www.example.com/MyContentPage )的 Dropbox 中有一堆照片。此页面使用 jQuery（我检查过）。

我将图像放在 Dropbox 中并将它们加载到列表中，但是随着图像数量的增加，我希望将它们作为图库加载。但我不控制根文件夹和相对路径。因此，我需要的任何 JS/CSS/Image 都应该托管在 Dropbox 中或来自不同的域（需要在我的 CMS 页面中引用）

当我查看灯箱（https://github.com/lokesh/lightbox2/）时，我看到它带有所有必要的文件夹，但由于我无法“安装”lightbox2，我想知道是否有更简单的方法我用灯箱（或类似的东西）做一个相册。我在想改变 lightbox2 中 css 和图像的相对路径可能有效，但我不知道。将不胜感激任何想法。

谢谢。

我们有基于 Facebook 的网络应用程序。它适用于大多数浏览器，但在某些浏览器上，当用户尝试登录时会出现一些错误。这是场景：

• 用户在我们的 WebApp 上点击 Facebook 登录。这是使用 FB Javascript API 设置的。
• 输入凭据
• 页面似乎转到下一页，但重定向回初始登录页面。

我们在 Javascript 控制台（在 Chrome 上）中看到以下错误：

未捕获的安全错误：无法从 HTMLIFrameElement 读取 'contentDocument' 属性：阻止具有来源“ https://ourdomain.com/ ”的框架访问具有来源https://s-static.ak.facebook.com/的框架。被访问的框架将“document.domain”设置为“facebook.com”，但请求访问的框架没有。两者都必须将“document.domain”设置为相同的值才能允许访问。

我们已从登录模块中删除了所有 IFrame 访问。但是，我们仍然遇到同样的错误。任何线索这里发生了什么？这里是否有任何跨站点 HTTPS 请求？我们如何检测可能导致这种情况的原因？

We received a scan report that lists a number of items on our website that never previously popped up as an issue. What in the following code is a vulnerability to cross-site scripting?

And here:

And then several points in our contact form page (lastname parameter, emailc paramter, etc.:

Any help would be greatly appreciated.

More Details

I've made some changes that I hope solves my problem:

And for the contact form, I had already used strip_tags when echoing the input variables into an email, does that not avoid the problem? Or do I need to escape the variable at the input as well? For now, I've changed my strip_tags or htmlspecialchars:

But the scanner seems to be concerned with the input code:

I'm not sure how I would modify those lines to escape/sanitize that input.