问题标签 [javascript-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 文件上传并了解目录结构
我们正在使用 jquery fileupload 将文件(和文件夹)从本地计算机拖放到浏览器。这很好用,但我们无法捕获文件夹中文件的目录结构。我理解为什么(从安全角度和javascript)这不起作用,但有没有人对实现相同目标的最佳方法有任何想法。
同样,我希望我的客户(内部应用程序)将文件夹拖放到我的应用程序中。我的应用程序可以看到文件名列表并且它们被上传,但我想维护这些文件的目录结构以便在其他地方使用。即,重要的是我知道它来自目录 x/1/a 而不是 y/2/b。
提前致谢!
javascript - 关于“跨域 Ajax”安全问题的说明
假设我们允许跨域 Ajax 请求。
代码看起来像这样:
这个电话有什么安全风险,mail.google.com 不会拒绝这个请求然后就结束了吗?
编辑 以澄清上述问题。
在上面的场景中,cookie 被发送到 mail.google.com。是您的浏览器当前存储的所有 cookie 还是只是域 cookie?如果它是所有的 cookie,那么我理解为什么跨域 ajax 调用是一个问题。但是,如果是这种情况,我不明白为什么浏览器会发送所有 cookie,有什么好处?
java - 是否可以在服务器端加密并在客户端解密(使用javascript)?
我有一个场景,我必须在服务器端加密(使用java)并使用非对称密钥加密在客户端(使用任何JavaScript库)解密相同的数据,因为我们想从服务器端发送一些敏感信息。所以我的问题是——
- 真的有可能吗?如果是的话怎么办?
- 如果不 ?为什么?
如果真的有可能,那么请提供任何链接或任何示例以开始,并且仅在不可能的情况下才提供替代方案(我知道我们有 SSL,但请把它放在一边)。
任何帮助是极大的赞赏。
javascript - 显示个人资料图片,但如果帐户不存在则不显示
我目前正在编写一个也可以通过 Internet 访问的 Intranet。使用 jQuery,当用户在登录屏幕中键入他的电子邮件时,jQuery 会请求一个 PHP 页面(例如 picture.php?u=username)并显示他的个人资料图片,以便他可以查看他的。如何防止黑客直接picture.php使用所有可能的电子邮件呼叫我并检查它们是否存在?我应该删除这个功能吗?
javascript - 使用 javascript 部分阻止表单导致安全漏洞
我有一个巨大的表格,有大量的输入字段应该由系统用户填写。其中一些字段被 Javascript 函数阻止,因为在某些情况下它们是由系统自动填充的。让我给你举个例子:
如果用户提供用户代码,则联系信息将用 填充和屏蔽disabled="disabled"。如果有错误意图的人访问页面代码并只是擦除disabled="disabled",他可以用错误的数据填充被阻止的字段。有什么方法可以防止这种情况仅使用 Javascript 发生?
angularjs - 从AngularJS中的视图中关闭窗口
我正在尝试从 AngularJS 的视图中关闭一个窗口,但出现此错误:
脚本只能关闭它打开的窗口。
这是中的脚本index.html:
这是main.html:
如果满足以下所有条件,Window 对象的 close() 方法应该关闭浏览上下文 A:
- 相应的浏览上下文 A 是可脚本关闭的。
- 现任脚本的浏览上下文熟悉浏览上下文 A。
- 现任脚本的浏览上下文被允许在浏览上下文 A 中导航。
但我怎么会得到这个?我不是在同一个上下文中吗?!以及如何解决这个问题?
谢谢。
openid - 不使用任何 Google API 的 Google OpenID Connect 进行身份验证
OpenID Connect 常见问题解答说,主要用例之一是它允许“站点开发人员在不负责存储和管理密码的情况下对用户进行身份验证”。
Google+ 登录是 OpenID Connect 的一种实现。我的理解是,您向 Google 注册了一个应用程序,然后选择您希望该应用程序能够访问的 Google API。
仅使用该服务进行身份验证(对于基于浏览器的应用程序)而不使用任何 Google API 是否有效使用 Google+ 登录?
如果那是服务/技术的有效应用,那么在哪里可以很好地描述 Web 应用程序需要做什么来集成该身份验证功能,以及这对 Web 应用程序的 HTTP API 的设计和后续实现有什么影响?
javascript - 如何确保休眠版本号在 javascript 客户端中保持不变?
我有一个带有 Java 和 Hibernate 的 Rest 后端,并且我使用带有 version 属性的 Optimistic Locking。对于并发控制,此版本属性必须通过 post 请求发送到客户端并再次发送到服务器。但是,在 javascript 客户端中,我无法控制此属性的完整性,例如:
- 客户端“A”请求资源 1。
- 客户端“B”请求相同的资源。
- 服务器以资源 1 版本 1 响应两个客户端(在它们各自的响应中)
- 客户端“A”修改资源并发布帖子以保存更改。
- 服务器处理 post 请求,Hibernate 检查版本号。1 = 1,因此资源被修改。
- 客户端 B 使用 javascript 并将 version 属性修改为 2 并发出 post 请求。服务器处理 post 请求,现在 2 = 2,因此资源被修改,客户端 A 所做的更改丢失。
请记住,这是一个 Rest 后端,因此我无法在服务器中保存交付给每个用户的对象的版本号,或者类似的东西。
所以,如果这是一个我认为的有效问题,我如何确保版本在客户端中保持不变?
javascript - 防止 Javascript 中的客户端潜在代码注入
我在 gae 中用 java 创建了一个应用程序,并针对 checkmarx 运行它以检查安全漏洞,它在标题下抛出错误 - 客户端潜在代码注入。它在以下行显示错误:
下面是我的代码片段,我不确定为什么在使用它之前转义电子邮件时它仍然抛出错误:
这是 loadAllData 方法使用传递的电子邮件值所做的事情:
任何人都可以帮忙吗?