问题标签 [cross-site]

我最近在我的站点上运行了安全扫描，其中一个正在使用的 JS 文件被标记为存在 DOM 跨站点脚本问题，我不确定如何修复它。

文件：jquery.address1.4.js

这是被标记的代码部分的脚本：

代码行是这样的：

扫描告诉我要清理输入，但我不确定它指的是什么，因为我们在网站上没有“输入”。如何修复上述代码以便通过安全扫描？

编辑：这是 _l 的值

从：

在诺基亚 Series 40/云预览版上部署 ajax 时不会执行（PS - 诺基亚使用代理服务器在手机上运行 Web 应用程序）。ajax 调用在桌面浏览器和本地预览（诺基亚 Web 工具）中工作。

完整代码 - http://pastebin.com/dZFKPv1s

I have a nodejs app that runs a web server and works as a web API. Simple GETs to interact with it. My goal is to be as accessible as possible by any language or programmatic scenario. My biggest problem is that javascript run in the browser can't hit it because the browser (specifically chrome) prevent cross site scripting. I'm open to any ideas that allow this. I want any site to be able to make requests against the url, sort of like how twitter has a javascript API.

I've tried using jQuery's ajax with JSONP but I was having all sorts of problems. Either it wouldn't go through or if it did go through I wouldn't get the response.

If there's a pure javascript way, I'd prefer that because of it having fewer dependencies.

设置：

有远程测量站，有集中的收集/处理/呈现服务器（带有网络服务器），还有观察站，为客户显示收集的数据。

这些观察站由简单的嵌入式计算机组成，配备网络浏览器，以信息亭模式工作，每个都显示来自中央服务器的一个特定网页。该网页使用 AJAX 更新，显示给定测量站的最新测量结果。连接到固定监视器，这些站应该可以几乎免维护运行多年。

现在我们已经解决了大部分问题，但问题是：如果网络服务器出现故障怎么办？浏览器将加载“无法访问”、“404”、“权限被拒绝”、“500”或服务器在该点采取的任何故障模式，并保持在那里直到有人手动重新启动观察站。

我想出的一般解决方案是将浏览器的主页设置为观察到的页面，而不是设置为始终可用的本地 HTML 文件，该文件将定期检查远程页面是否已正确加载和更新，如果失败则重新加载以任何理由执行。

问题：

问题在于跨框架脚本。我猜目标网页必须加载为框架、iframe、文本/HTML 类型的对象或其他方式，使其在不删除/禁用本地“容器”文件的情况下显示。几年前我写了一个跨框架脚本页面，绕过安全对策并不容易。从那时起，安全必须加强。

因此，从远程服务器加载的页面包含一段 javascript，如果一切顺利，它会定期启动（一些 setInterval），或者如果出现问题则不会。该信号周期性地到达容器帧使其重置其超时并且不采取任何其他动作。

如果信号没有到达，当超时到期时，容器开始定期刷新加载的网页，直到服务器固定并加载正确的内容，向加载器发出信号。

每次触发特定功能时，如何让远程页面向从 file:// URL 加载的本地（容器）页面发出“活动”信号（例如，设置变量）？

我正在尝试让 Flask 正确处理跨站点脚本。我从这里获取了跨域装饰器片段：http: //flask.pocoo.org/snippets/56/

在下面的代码中，我放置了装饰器片段和基本的烧瓶服务器。

我用 headers='Content-Type'调用装饰器，否则我得到“Access-Control-Allow-Headers 不允许请求标头字段 Content-Type”。在浏览器中。

所以这是我的问题：按原样，下面的代码有效。但是当我想限制到一个特定的服务器时：

我收到浏览器错误

“访问控制允许来源不允许来源http://myserver.com 。”

除了origin='*'之外，我无法让它工作。

有人有什么想法吗？

这是完整的代码：

作为参考，我的 python 版本是 2.7.2 Flask 版本是 0.7.2

默认情况下，ASP.NET 应用程序是否可以防止跨站点脚本？我读过 machine.config 文件有一个默认设置为 on 的属性，这可以防止跨站点脚本？这是真的？

我通过引用字段过滤 HTTP 请求以防止跨站点伪造攻击。我知道这是一个坏主意，我已经使用了 ASP.NET MVC 内置的防伪机制，但是我们的客户有特殊的安全实用程序，它通过更改 HTTP 请求的引用字段来检查跨站点伪造攻击。

我的问题是当我收到不允许的域时我需要做什么？要返回什么 http 代码以及我应该向用户显示哪个页面？

应该是找不到像 404 这样的自定义页面还是只是重定向到主页？

什么是普遍做法？

我在同一个jsp文件中有以下javascript函数，它根据链接中传递的参数打开一个新窗口。有人告诉我，我需要编码以防止 XSS 攻击。

所以我想使用 encodeURIComponent() 或 encodeURI() 对链接进行编码，但我需要知道我是否喜欢下面的内容，那么它是否能够防止 XSS 攻击？

谢谢你的帮助！

我有一个使用 HTML、CSS 和 Javascript 代码构建前端的应用程序。后端将使用核心 java、Restlet 创建。

现在真正的问题是前端和后端都将在具有差异端口的差异服务器上。比如，前端打开：（http://clientLookup仅举例）后端打开，http://lcgrke:8080

现在，由于我将通过 Ajax 请求或 jQuery Ajax 从前端发送服务器或休息调用，因此我遇到了跨端脚本问题（SOP - 同源策略）。我不知道如何解决这个问题。

JSONP 可以是选项之一，但它仅适用于 GET 类型调用，但在我的应用程序中，我将有 GET/POST 请求。此外，服务器的某些 url 不会启用 JSONP（不要问我为什么，只要接受它们是不可编辑的），所以 JSONP 似乎不是更好的选择。

谁能解释一下我将如何解决这个问题？

我正在尝试向我的 Firefox 扩展添加一个函数，以在单击站点 A 上的按钮时触发从站点 B 删除 cookie 的事件。站点 A 和 B 不共享域，但站点 B 在注入站点 A 的 iframe 中运行。我需要 Firefox 内容脚本中的 click 事件来触发内容脚本或 Firefox 扩展主程序中的事件以删除所有来自站点 B 的 cookie。

我将单击侦听器分配给按钮并触发。我已经通过扩展在 Google Chrome 中实现了同样的效果。我收到有关使用组件的错误，但找不到替代组件的解决方案。它只需要在 Firefox 22+ 上运行。我正在使用 addon-sdk-1.14 来开发扩展。

内容脚本.js

主.js