問題タブ [browser-security]

他のユーザースクリプトを管理できるGreasemonkeyスクリプトを作成することは可能ですか？
ユーザースクリプトのURLのリストを指定して、他のユーザースクリプトのグループを自動的にインストールするユーザースクリプトを作成したいと思います。

問題は、あるスクリプトが以前にロードされたスクリプトまたは含まれているスクリプトを削除した場合、Web アプリケーションの非同期ロードで何が起こるかということです。

いくつかのスクリプトを含めてみましょう:

マークアップによってインクルードされるか、requireJS を介して動的にインクルードされるかに関係なく、非同期スクリプト インクルードは同じ順序で行われます。

MySquel.js ファイルの内容は、次の悪意のあるコードである可能性があります。

もちろん、質問はブラウザ固有のものですが、特定のブラウザでメモリホールを開く癖があることに興味があります。あなたが知っているエッジケースにも興味があります！

セキュリティで保護されていない可能性のあるスクリプトの読み込みに関して、あなたが知っているエッジ ケースのいずれかで、あなたの応答に非常に感謝しています! ありがとう。

現在、大規模なアプリのフロントエンドを設計しています。計画では、子アプリを管理するマスター アプリを用意し、ユーザーはアプリ ストアからダッシュボードにアプリを追加できます。すべてブラウザーの JavaScript で行います。問題はサンドボックス化です。基本的に、のデータを (DOM またはその他の方法で)appX盗むことはしたくありません。appY私はGoogle Cajaを知っていますが、現在、別のドメインで実行されているiframeに傾いています（アプリがAPIを共有できるようにするための非常に派手なnginx構成を使用）。これはうまくいきますか？(ブラウザのコンテキストでサードパーティのアプリケーションを実行するための) 代替手段はありますか?

認証と API 操作に中央ドメインを使用するマルチドメイン プラットフォームがあります。

API & 認証 + アカウント管理

• https://example.com

読み取り専用 + ウィジェット アクション

• http://example.com
• http://example.net
• http://example.org

このタイプのセットアップに関する StackOverflow の質問のほとんど (すべてではないにしても) を読みましたが、この懸念についての洞察を見つけることができませんでした。(これに関するほとんどの Q&A は、関連する一般原則に関するものであり、詳細についてはほとんど触れていません)。

と他のドメイン名のPorthole.js間で API 呼び出しをプッシュするために (javascript iframe プロキシ ライブラリ) を使用しています。https://example.comすべてが完璧に機能します。

「ログイン状態」に頭を悩ませ、JavaScriptをカスタマイズするためにユーザーデータを永続化しようとしています。

StackOverflow 自体のようなサイトがどのようにモデル化されているかを見て、私が最初に考えたのは次のことでした。

• ログイン ステータス + カスタマイズ データ (ユーザー名、写真など) + cookie データを localStorage にhttps://example.com10 分間、またはログアウトするまでキャッシュします。10 分後、キャッシュはサーバーの API にヒットして更新されます。
• ネットワーク サイトへの最初のヒット時に、リモートの localStorage をクエリします。ログインしている場合は、ログイン ステータス、カスタマイズ データ、および http (https ではない) Cookie ID をプロキシ バックします。このデータは、10 分間またはログアウトするまで「最新」と見なされます。
• からの Cookiehttp://example.comが要求側ドメインに複製され、そのセッションが置き換えられます。これにより、ドメイン全体で単一の Cookie / ID を使用できます。

追跡と「プレビュー」アクセスにのみ使用されるにもかかわらず、私はその最後のステップである http Cookie のクローン作成について最も心配しています。しかし、このシステム全体はブラウザのセキュリティ モデルに依存しており、何かが欠けている可能性があります。AuthTicket モデルを使用したかのように、洗練された「安全な」メカニズムのようです (ユーザーはhttps://example.com/auth-request?destination=http://example.net/auth-responseにアクセスし、http://example.net/auth-response?nonce=VERYBIGNUMBERにリダイレクトされるか、iframe 内で透過的な oAuth リクエストが行われます。

私が見逃した明らかな/明白なセキュリティ上の懸念に誰かが光を当てることができますか、またはこれは代替案と同じくらい安全だと思われますか?

FileReader API を介して画像を読み取り、キャンバスに表示する Web アプリを構築しています。その後、次に示すように、キャンバスで .getImageData 呼び出しを行った後、ピクセルごとに画像の色を変更します。

colorImage()は、対応する RGB カラー コードを指定してピクセル値を変更する、私が作成した関数であり、確実に機能します。上記のコード スニペットは、画像をローカルで読み込んでいるときは機能しますが、Dropbox のパブリック アカウントなどのオンライン サーバーから画像にアクセスしようとすると機能しません。Firefox は、これはセキュリティの問題だと言っています。それを回避する方法はありますか？

レジストリを変更せずにツールを無効にできないことはわかっていますが、ユーザーが F12 キーを押すのをブロックしたり、開発者ツールへのアクセスをまったく禁止したりすることは違法ですか?

Web アクセシビリティについての議論が行われており、これを行うべきではないという証拠を見つけようとしているので、これをお願いします。あらかじめご了承ください。

アプリでブラウザのセキュリティ関連の問題が発生しています。

すべての javacript コードが正常に機能したため、最初は問題ありませんでした。しかし、ckEditorの使用を開始してから問題が発生しました。これは、安全でないスクリプト (「安全でないスクリプトを読み込む」) を有効にした場合にのみ ckEditor が機能するためです。Chromeでのみ発生しています。

この便利なリンクContent Security Policyを見つけたので、回避しようとしています。

ただし、アプリがブラウザによってブロックされている場合、javascript で検出する方法があるかどうかを知りたいです。実際、私はタグについては話していません<noscript></noscript>。アプリの残りの JavaScript コードはまだ正常に動作しているためです。これは、この特定の Chrome のセキュリティに関するものです。

コンテンツ セキュリティ ポリシーの指示に従って、この問題に取り組んでいます。Chrome にこのセキュリティ アイコンが表示されているかどうかを特定し、ユーザーに何らかの指示を与えることができるかもしれません。

出来ますか？