问题标签 [javascript-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 如何保护或隐藏我的 JavaScript 代码?
无论如何要隐藏或保护我的javascript代码。因为任何人都可以使用查看页面源轻松地在我的网站上看到我的 javascript 逻辑,这对我有害。请告诉我您知道的任何方法来保护 javascript 代码或使用任何无法轻松解密的加密方法使其难以理解。
javascript - 我什么时候需要检查 origin 属性?
何时需要检查origin实现接口的事件的属性MessageEvent以避免安全漏洞?
origin 属性必须返回它被初始化的值。在服务器发送的事件和跨文档消息传递中,它表示发送消息的文档的来源(通常是文档的方案、主机名和端口,而不是其路径或片段)。
此属性由服务器发送的事件、Web 套接字、跨文档消息传递、通道消息传递和广播通道公开。
我应该知道什么?我需要注意什么?我应该记住什么?
origin什么情况下检查属性是有意义的?
我什至需要检查origin,还是只检查isTrusted财产?
javascript-security - 服务器响应状态为 403(禁止)
刚刚建立了一个 ror(ruby on rails) 网站,通过我的互联网连接,一切看起来都很好,并且在家中运行良好。
尝试从公司 Internet 连接浏览时,浏览器未加载任何 javascript(经过测试的 chrome 和 IE 10)
我为所有 JS 文件得到的错误: 加载资源失败:服务器响应状态为 403(禁止)https://stamdomain.com/javascripts/translations.js加载资源失败:服务器响应状态为403(禁止)
尝试下载 js 文件时,我收到一条安全页面消息(我的机器上安装了一些安全客户端)为了进一步加强我们的安全性,我们限制从未分类的网站和某些可能包含病毒、恶意软件和其他网络威胁
日期:2016 年 10 月 25 日星期二 14:30:57 GMT 用户名:您的源 IP:10.11.11.112 URL:GET https://stamdomain.com/javascripts/translations.js 类别:未分类的 URL 文件类型:application/javascript 原因: BLOCK-TYPE Web 信誉评分:ns 恶意软件类别/名称:设备:10.11.123.71
不确定问题出在哪里..客户?服务器?以及是否有办法绕过它并使网站也可以在此类网络中访问。
谢谢
angularjs - 在平均堆栈开发中,Angular Js 代码在浏览器上可见吗?
最近我读了一篇关于平均堆栈开发的好文章。与 node js 一样,脚本在服务器端呈现,在浏览器中不可见。我的问题是“当我们使用 Angular 的视图和控制器(以及使用 mongo db、node js 和 express 制作 API)时,浏览器上是否可以看到 angular js 的脚本”?
javascript - Javascript 在内存中跨页面存储客户端密码
我正在开发一个应用程序,该应用程序在客户端使用用户密码加密用户数据,而不向服务器发送/共享密码。用户需要跨页面加密数据,我不想每次他需要加密他的数据时都询问用户密码。
一种选择是我必须使我的应用程序成为单页应用程序,但这会产生很多开销。另一种选择是使用 sessionStorage 跨页面存储会话的数据,但我不确定它是否与单页应用程序中的内存变量一样安全。
javascript - 如何从javascript中提取价值?
我有以下 javascript 响应
我正在尝试使用正则表达式提取器从上面提取“reloadDocStructureAfterSaveAs”值
表达:reloadDocStructureAfterSaveAs("(.+?)")
但值没有被提取到参考变量中。请指教
javascript - 在像 iframe 但没有 iframe 的隔离空间中运行 html/script/css
我有一些提供 html5 广告的内部广告服务,每个广告都包含自己的 css js 和 html。
我不能只将它们放在 iframe 中,因为该网站基于大量的触摸手势并且触摸无法在 iframe 上运行。
我可以把pointer-events: none;iframe 放在上面,但这样广告就不会难处理了。
那么有没有一些特殊的方法可以创建像没有 iframe 的 iframe 这样的独立代码块?
例子:
*父网站和广告的所有代码都位于同一网站上
javascript - 修复由 fortify check 标记的动态代码注入问题
我正在尝试针对安全漏洞运行 fortify 代码检查器,它正在标记一些我使用 setTimeout 的实例以及来自标准 3rd 方代码库的一些实例。不知道如何修复它们。
我的 JS 文件
文件 all.js 将未经验证的用户输入解释为第 7982 行的源代码。在运行时解释用户控制的指令可以让攻击者执行恶意代码。
第 1 行和第 4 行的标志(setTimeout)
bootstrap.editable.js中的超时功能,我用它来实现某些表单字段的内联编辑。
selectivizr.js 中的 setInterval 函数
在所有 3 个文件上都出现同样的错误。不确定如何替换这些 JS 命令或如何处理 3rd 方库。处理这些安全漏洞的好方法是什么。
jenkins - SonarQube - JS 依赖项安全漏洞扫描
我有一个大型项目,其中包括通过 NPM/Yarn 下载依赖项的前端部分,并且正在寻找对 package.json 中定义的这些第三方依赖项的安全漏洞扫描。
我已经知道诸如 Snyk、retireJS、NSP(现在被 NPM 收购)等选项,但是想知道是否有一个不错的插件可以用来添加到 SonarQube。想法是扫描依赖项列表,使用 CVE 数据库对其进行检查,并生成一份 HTML 报告,其中包含确定每个漏洞风险级别的漏洞。
谢谢
javascript - 谷歌地图防止攻击以强制多个请求
最近谷歌地图更新了它的价格,这让我想知道如果恶意用户决定使用谷歌地图访问网站,打开浏览器的开发者控制台并编写一个循环,使用密钥向谷歌地图发出请求,会发生什么访问的网站。
我猜谷歌地图会认为这些请求是合法的,因为它们来自与密钥关联的域,因此这些请求将计入帐单。
我对吗?我们如何才能防止这种攻击?