問題タブ [browser-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - シンプルな AJAX スクリプトは、ホームページのみでは読み込まれません
左側のナビゲーション パネルにある [Brad's Secrets of Attraction] の下のメール スクリプトが、ホームページに読み込まれません。他のすべてのページで機能します。
ライブ サイト: BradP.com サイトは NSFWである可能性があります
これは私には奇妙です。
誰かが理由を知っていますか?
javascript - JavaScript getelementbyid の問題
JS で getelementbyid を使用すると、ブラウザはスクリプトを許可またはブロックするように求めます。それを自動的に許可または回避するスクリプトはありますか、またはその代替手段はありますか
javascript - IEセキュリティでオブジェクトの作成が許可されていない場合、新しいActiveXObject('Word.Application')は新しいwinword.exeプロセスを作成します
民間企業のWebサイトのいくつかのフィールドのスペルチェッカーとしてMSWordを使用しており、IEのセキュリティ設定が正しければうまく機能します。(サイトのゾーンがTrustedに設定され、Trusted Zoneが変更されて、プロンプトなしで制御を実行できるようになりました。)
使用しているスクリプトは、単語オブジェクトを作成し、後で閉じます。オブジェクトが存在する間、winword.exeプロセスは実行されますが、Wordオブジェクトが閉じられると破棄されます。
サイトが信頼できるゾーン(デフォルトのセキュリティレベルのインターネットゾーン)に設定されていない場合、Wordオブジェクトを作成する呼び出しは期待どおりに失敗しますが、winword.exeプロセスは引き続き作成されます。スクリプトでこのプロセスを操作する方法がないため、ユーザーがログオフするまでプロセスはそのままになります(ユーザーはプロセスを手動で破棄する方法がなく、破棄したとしても適切な解決策にはなりません。 )。
オブジェクトを作成しようとする呼び出しは...
したがって、ページが読み込まれるたびに、このコードが再度実行され、さらに別の孤立したwinword.exeプロセスが作成される可能性があります。
wordApplication
もちろん、catchブロックでは未定義です。
ブラウザのセキュリティ設定を事前に検出できるようにしたいのですが、これを検索してみましたが、可能ではないと思います。
ここの経営陣はそれなりに満足しています。IEのセキュリティが正しく設定されている限り、それは機能し、私たちの目的にはうまく機能します。(最終的には、スペルチェック機能の他のオプションを検討する可能性がありますが、これは迅速で安価であり、必要なすべてのことを実行します。)
この最後の問題は私を悩ませ、私はそれについて何かしたいのですが、私はアイデアがなく、他にも注意が必要なことがあります。
脇に置く前に、ここで提案をお願いしたいと思いました。
login-control - 同じURLの他のブラウザで閲覧するページを制限する
asp.netとc#.netをログに記録せずに、同じURLを使用して他のブラウザーでページを閲覧できるように制限する方法.
たとえば、次の手順に従いました。
- asp.net & c#.net で開発されたページにログインしています。
- ページを表示しています。管理ページにします。
- 管理ページのURLをコピーしています。
- 別のブラウザ ウィンドウを開いて、URL を貼り付けています。
- 他のブラウザでも同じ管理ページを見ることができました。
問題は、他のブラウザーで管理ページを開くことを制限する方法です。ユーザーが現在管理ページを表示しているときに別のブラウザーで管理ページを開こうとすると、ログインページにリダイレクトする必要がありますか? これはどのように達成できますか?.net フレームワークの「ログイン」制御ツールでできることはありますか?
ssl - SSLハンドシェイク中にブラウザが対称キーを生成する方法
典型的な https Web シナリオで、ブラウザーとサーバー間の SSL ハンドシェイクについて少し混乱しています。
私がこれまでに理解したことは、SSL ハンドシェイクの過程で、クライアント (この場合はブラウザー) がランダムに選択された対称鍵を公開鍵 (サーバーから受け取った証明書) で暗号化するということです。これはサーバーに送り返され、サーバーは秘密鍵を使用してそれ (対称鍵) を復号化します。この対称キーは、セッションの残りの部分で使用され、両端でメッセージを暗号化/復号化します。そうする主な理由の 1 つは、対称鍵を使用した高速な暗号化です。
質問
1) ブラウザは、この「ランダムに」選択された対称キーをどのように選択して生成しますか?
2) 開発者 (またはブラウザ ユーザー) は、対称キーを生成するこのメカニズムを制御できますか?
browser - 安全なページですべての安全でないコンテンツを見つける
HTTPS ページによって要求されたすべての非 HTTPS URL のリストを見つける最も効率的な方法は何ですか? この種のセキュリティ違反が発生した場合、すべてのブラウザがユーザーに警告しますが、違反の原因となった正確な URL を簡単に見つける方法が見つかりません。
これまでに見つけた最も簡単な方法は Firefox を使用することですが、それでもあまり便利ではありません。まず、右クリックして [View Page Info] を選択し、[Media] タブをクリックして、URL のリストをスクロールします。ただし、これは画像ファイルのみをリストしているようで、エラーの原因となる可能性のある CSS または JS インクルードは含まれていません。それらについては、Firebug 拡張機能を使用し、[Net] タブを選択し、手動でマウスを各項目の上に置いて URL 全体を表示する必要があります。残念ながら、数十のメディア ファイルがある場合、これには時間がかかることがあります。より良い方法はありますか?
javascript - window.opener.parent.documentにアクセスできるかどうかを判断する
私のWebサイト(サイト1)は、別のWebサイト(サイト2)からのURLを含むウィンドウを起動します。どちらのWebサイトでもコードを変更できますが、ドメイン名が異なります。
サイト2で起動しているページには、次のコードがあります。これは、閉じるボタンがクリックされたときに開いたページを再表示します。
ページがサイト2内から起動された場合は正常に機能しますが、サイト1からは、ドメインが異なるため、次のJavascriptエラーが発生します。
Window.documentを取得するためのアクセスが拒否されました
オープナーのドキュメントにアクセスできるかどうかをJavascriptで確認する方法はありますか?サイト2内で更新機能を保持したいのですが、サイト1でエラーが発生することはありません。
私は私が書くことができるこのようなものがあることを望んでいます:
flash - SWFがローカルPCに保存されている場合、SWFのロードは機能しません
Flash.FLVプレーヤーを含むHTMLファイルがあります。次に、特定のFLVビデオをロードして再生します。これらのファイルはすべて、アプリケーションのインストールの一部としてPCにローカルに保存されるという考え方です。ヘルプ/マニュアルには、HTML/フラッシュを使用します。
私のPCでは正常に動作しますが、ユーザーのPCでは何も表示されません。ただし、まったく同じファイル構造をオンラインでホストし、URLを指定すると、完全に機能します。
これはある種のセキュリティの問題だと思いますが、どのように対処すればよいかわかりません。使用されているブラウザは実際にはXULRunnerアプリです。つまり、FireFox 3エンジンですが、実際にはFFではありません。私のPCは開発者のPCであるため、過去に別のプロジェクトで何かを行って、それを機能させることができます。私のPCは、何らかの形で特別なものではありません。
参考までに、HTMLには次のものが含まれています。これはサードパーティのアプリから生成されたものです。
silverlight - デスクトップに依存するアプリケーションを Silverlight で提供する
仕事:
たとえば、Windows 実行可能ファイルがありますconvertvideo.exe
。特定のビデオ変換用のコマンド ライン ツールです。
インストールせずに、クライアントがどのマシンでも簡単に使用できるようにしたいと考えています。ユースケースは次のとおりです。クライアントは、Silverlight アプリケーションをホストする Web ページに移動します。アプリケーションは、クライアントに「実行可能ファイルを一時フォルダーに入れる」ボタンを押すように指示します。押すと、実行可能ファイルがクライアント マシンに展開 (ダウンロード、コピー) されます。次に、Silverlight アプリは、変換するファイルのリストと結果ファイルのパスを提供するようユーザーに求めます。ユーザーが変換を押すconvertvideo.exe
と、提供されたパラメーターを使用して Silverlight アプリが (クライアント コンピューター上で) 実行され、変換が行われます。
質問:
これは、Silverlight アプリがブラウザー内から持っているファイル システム アクセス権限で可能ですか?
javascript - ブラウザから「Authorization: Basic username:password」ヘッダーを削除する方法
ブラウザで利用できるネイティブのログイン プロンプトを利用しようとしています。
また、 Steven Sanderson のブログ投稿をフォローしています。
ブログで述べたように、ユーザーがログインの詳細を入力すると、ブラウザはその後のAuthorization: Basic username:password
すべてのリクエストでヘッダーをログイン URL に送信します。これは、ユーザーがログアウトしてもブラウザー ウィンドウを閉じない場合、次にログイン ページにアクセスしたときに、ログイン ページにアクセスしたときに自動的にログインされることを意味します。ブラウザは、ブラウザが終了するまで認証の詳細を効果的に保存します。これにより、アカウントが不正なアクセスにさらされたままになります。
ユーザーが詳細を再入力しないと再度ログインできないように、ブラウザーに認証情報を忘れさせる方法はありますか?