问题标签 [cross-site]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
html - 通过另一个网站加载网站
我试图了解如何使用 iframe 加载网站,但让所有链接都通过您的网站。谢谢。
javascript - 消除跨站脚本的方法
我的应用程序有很多跨站点脚本漏洞。我需要一个通用的 C# 函数,这样可以避免\消除所有跨站点脚本。
security - 如何避免 ASP.NET 中的跨站点脚本
我有一个带有文本框的 ASP.NET 表单。用户可以输入任何字符、数字等。我不应该限制用户过滤危险字符。但我需要防止跨站点脚本。
用户可以像这样输入任何文本,例如 alert('hi')。
数据应保存在数据库中。它也应该返回并按原样显示在标签中。
如何在没有跨站点脚本的情况下实现这一目标
jquery - jQuery 自动完成 - xml 跨站请求
我的自动完成的 XML 提要在另一台服务器上。是否有获取此 XML 文档的客户端 (javascript) 方法?
我知道我可以使用 php、jsp 等创建代理。但我需要在客户端全部完成。这就是我现在调用该文件的方式,该文件仅在它位于同一域中时才有效:
scripting - XSS 攻击预防
我有一个用 PHP 编写的 Web 应用程序。模板引擎是SMARTY。我的问题很简单,但答案不应该那么容易,因为我找遍了它没有结果。
当我远程登录到端口 80 并运行以下命令时:
服务器返回一个 html 页面。当我保存这个 HTML 页面并在浏览器中打开它时,我在页面顶部看到 alert(123),这意味着该站点容易受到跨站点脚本 (XSS) 的攻击。
我的问题是如何访问用户输入的实际网址以对其进行清理?当涉及表单或数据库查询的用户输入清理时,场景似乎要容易得多,因为您实际上手头有一个变量可以操作,但是对于用户在浏览器中输入的实际 url,我怎么能获取网址本身以对其进行消毒?
供您参考,我已经阅读了所有为 XSS 预防提供库函数的模块,但没有一个提供有关如何处理实际 url XSS 攻击的示例。顺便说一句,我magic_quote_gpc在我的 php 配置中已经关闭了。我现在该怎么办?有什么想法吗?
iframe - 哪些网站不支持 iframe?
我正在为许多随机网站动态生成 iframe,我很想知道哪些网站不支持 iframe,因此我可以退回到缩略图。我已经知道 Facebook、Twitter 和 Youtube 等网站不支持 iframe,但我想知道是否有人拥有更全面的列表。
jsonp - 为什么跨域 JSONP 安全,但跨域 JSON 不安全?
我无法连接最近了解 JSONP 的一些点。以下是我的理解:
- 由于同源策略,禁止任何内容(包括 JSON)的跨域 XmlHttpRequest。这可以防止 XSRF。
- 您可以拥有一个带有返回 JSONP 的 src 的脚本标记 - 在对 Javascript 函数的调用中填充了一些 JSON(比如“Foo”)
- 您可以在返回 JSONP 数据时调用的页面上执行一些“foo”实现,并且您可以使用传递函数的 JSON 数据执行操作
为什么通过 JSONP 接收跨域数据可以接收,但如果通过 JSON 接收则不行?
是否存在 JSON 倾向于允许 XSRF 而 JSONP 不是的假设?如果是这样,除了 JSONP 是某种不会提供启用 XSRF 的数据的事实数据格式之外,还有什么理由吗?为什么选择 JSONP 而不是 XML 上的任意根标签?
提前感谢您的回答,请在无法弄清楚这一点后让我的大脑再次工作。
security - 我可以通过简单地禁用 XSS 过滤器在 IE 中为任何/所有网站启用跨站点脚本 - 还是需要更多的东西?
我想为某些站点启用跨站点脚本。具体来说,我想向第 3 方站点提交一个 Web 表单,我已经为 Web 表单对子 iframe 的响应设置了目标 iframe,现在我希望我的主窗口中的代码能够检索响应网页的内容。
假设我可以通过简单地禁用 Internet Explorer 中的 XSS 过滤器来完成上述操作,我是否正确?还是还需要其他东西?另外,如何在 Firefox 中启用跨站点脚本(对于相同的场景?)
cakephp - 在 CakePHP 中的不同应用程序之间共享身份验证?
我对 CakePHP 还是有点陌生,目前我已经使用它创建并部署了一个(相当复杂的)应用程序。它有完整的用户和组支持,我花时间让访问表工作和一切。
现在,我正在创建一个单独的应用程序。我最初只是创建了一个全新的 CakePHP 安装,但后来我意识到我想根据我的第一个应用程序对用户进行身份验证。他们目前使用不同的数据源。我知道有几种方法可以实现,各有利弊。我是否:
- 将它们分开,将数据源添加到我的扩展应用程序,然后移植我的用户身份验证代码?
- 将它们分开,使用第一个应用程序处理登录,并使用通信协议以某种方式与第二个应用程序共享该数据?
- 将它们组合成一个数据源并接受我的应用程序中增加的复杂性?
- 完全不同的东西?
我正在使用 CakePHP 创建两个站点,它们将在相同的主机/主机名上运行,并连接到相同的 MySQL 服务器。用户总是在主应用程序上存储/创建,只需要被第二个应用程序被动访问。
javascript - 如何打开页面并激活特定的JS?
我在一个网站上有一个 jplayer,它嵌入了几个播放列表。要激活这些播放列表,我使用此功能:
这很好用。
现在,在同一网站的其他页面上,我想加载特定的播放列表。这不起作用,因为我使用 click() 函数。
我该怎么办?
非常感谢你。