問題タブ [browser-security]

私は、多くの HTTPS のみの領域を持つ e コマース アプリケーションに取り組んでいます。この特定のエラーは IE でのみ発生し (少なくとも 10、他は試していません)、アプリケーション全体の 1 つの HTTPS ページでのみ発生します。

調査によると、これは IE の混合コンテンツ警告です。このページに問題があるブラウザは IE だけなので、これは非常に紛らわしいです。他のすべての関連ブラウザは、混合コンテンツについて文句を言いません。

sslnavacancel.htm とは何かを明らかにできる人はいますか? または、さらにドリルダウンして、実際にこの問題を引き起こしているリソースを特定するにはどうすればよいでしょうか?

前もって感謝します。

インターネットにアクセスできないファイアウォールの背後にある内部アプリケーションがいくつかあります。インターネットにアクセスできるポータル (内部アプリケーションにもアクセスできます) をセットアップし、これら 2 つのアプリケーションにメニューを提供して iframe を介して表示しようとしています。

申し込みの詳細は以下のとおりです。

• ポータル - Tomcat+Apache

• 内部アプリケーション - 1 つは node.js アプリで、もう 1 つは J2ee+tomcat アプリです

• ホスト サーバー - 3 つのアプリケーションすべてで異なります

ここで 2 つの問題に直面しています。

1) インターネットにアクセスできるポータルは保護されています (HTTPS)。ただし、内部アプリケーションは保護されていません。つまり、HTTP です。そのため、ブラウザは「一部のコンテンツは保護されていません」という警告メッセージを表示し、アプリケーションをブロックします。ブラウザの設定を手動で変更せずにこの警告を抑制するプログラム的な方法はありますか?

2) 内部アプリケーションはファイアウォールの背後にありますが、ポータルはインターネットにアクセスでき、内部アプリケーションにもアクセスできます。現在、アプリケーションはインターネット経由で表示されません。ファイアウォールをバイパスできるようにするには、ポータルをどのように実装すればよいですか?

あなたの意見に感謝します。

JSONP を使用して開発を開始し、コードを別の会社のサイトに埋め込んで、同一生成元ポリシーによってブロックされることなくサーバーを呼び出すことができるようにしています。

私の質問は単純です。この手法を使用すると、javascript を挿入できる人なら誰でも、タグで JSONP を簡単に使用して、好き<script>な場所からコンテンツをロードできます。この簡単な回避策がある場合、同一オリジン ポリシーのポイントは何ですか?

サーバーが JSONP 互換のコンテンツで応答する必要があることは理解していますが、彼がやりたいことは何でも簡単にできるように思えます。

「貼り付け」プラグインがある場合、テキストをコピーしてから、Firefox で右クリック貼り付けを使用して TinyMCE エディターに貼り付けることはできないようです。どうしてこれなの？

私は使用しています：

• Firefox 33.1.1 (ただし、ユーザーは FF 29 の問題について不満を述べています)
• TinyMCE 4.1.1 と「貼り付け」プラグイン

エラーなしでこれらに右クリックして貼り付けることができます。

• http://html5demos.com/contenteditableでテストされた、属性を持つ要素contenteditable="true"(TinyMCE と同じ方法)
• 通常のテキストエリア
• 「貼り付け」プラグインなしのTinyMCE 4.1.1

ユーザーはTinyMCE フォーラムで 2007 年までさかのぼって議論し、 「コピー/切り取り/貼り付けは Mozilla と Firefox では利用できません」というアラートに言及しましたが、これは FF 33 では受け取らないものです。この問題が発生する理由について誰も言及していません。 TinyMCE 管理者は「これはバグではない」と主張しています。これを引き起こす Firefox または TinyMCE に加えられた変更と、その理由 (セキュリティ?) を知りたいと思っています。

この質問 -- tinymce マウス ペーストが機能しない-- には、問題を解決する方法の答えがあります。「contextarea」プラグインまたはそれに基づくプラグインを削除してください。しかし、そもそもなぜそれが起こるのかを知ることに興味があります。

行ったページがローカルのコンピューターのどこかに保存され、この機能に割り当てられた一定量のスペースがあり、それがいっぱいになるとすぐに古いものが削除されるといいのですが. 理想的には、 https://golang.org/のようなサイトにアクセスしてドキュメントをクリックすると、再びオフラインになったときにこのすべてのコンテンツにアクセスできるはずです。なぜだめですか？

理想的には、その URL に直接アクセスして、インターネットに接続しているように振る舞えるというアイデアが気に入っています。私は、sitesuckerを使ってこれを行い、ホスト ファイルを編集して一種の「イントラネット」を作成することに近づきました。しかし、アクセスしたページを思い出したり、すべてをキャプチャしたりすることはできません。

セキュリティの観点から、サーバーをドメインと同期させないことが最善ではないことは理解できます。ルーターにアクセスできれば、Facebook のパスワードを簡単に取得できるようです。それが問題である場合は、view-source:google.comworks in chrome のような URL を先頭に追加して、のようoffline-cache:golang.orgにすることができます。したがって、オフラインの場合、golang.org はそれにリダイレクトされる可能性があります。

ブラウザはこれを処理できないのでしょうか? これはすでに存在しますか？そうでない場合、そうでない理由はありますか？

この方法でコンソールを使用して既存のWebサイトにJQueryを含めようとしていました：

次に、このエラーが発生しました：

開発中に、外部 Javascript を含めたいと思うかもしれません。見栄えがよくないので、JQuery コード全体をコピペしたくないかもしれません。開発目的でコンテンツ セキュリティ ポリシーを上書きする方法は?

これは、迅速なテストに非常に役立ちます。後で、作成中のスクリプトをブラウザー拡張機能に変換したいと思うかもしれません。

注(更新): 既存の Web サイトにスクリプトを書き込んでおり、Content-Security-Policy ヘッダーの設定を制御できません。

https://example.org次のようなHTTPリソースへの参照を含むページをHTTPS経由でロードした場合

ブラウザがスクリプトでない限り、スクリプトのロードを拒否することを理解していますsrc="https://example.org/script.js"。

私の質問は、からへの 301 リダイレクトを実装した場合、ブラウザはリダイレクトに従い、HTTPS 経由でスクリプトをロードしますか、それともロードを拒否しますか?http://example.org/script.jshttps://example.org/script.js