問題タブ [client-side-attacks]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - ハッカーが電子商取引で製品価格を変更するのを防ぐ方法
これはかなり普遍的な質問だと思いますが、どういうわけかオンラインで情報を見つけることができません。商品価格が異なる e コマース サイトを運営しています。次に、Javascript を使用して合計価格を計算しますが、ハッキングされないようにするには、各価格値を正確にどこに保存すればよいでしょうか?
私が従ったあるチュートリアルでは、data-price="100" などのカスタム属性を使用して、HTML ファイルの各アイテムに価格を追加することを提案しています。
これは非常に便利で機能しますが、ハッカーは基本的に HTML フォームの値を改ざんできると聞いたので、価格を 100 ではなく 1 に変更しないようにするにはどうすればよいでしょうか? 代わりに Javascript ドキュメントで値を定義する方が安全でしょうか? それとも別の場所ですか?ベストプラクティスは何ですか?
どうもありがとう!
http - API の HTTP 応答に CSP ヘッダーを含める必要があるのはなぜですか?
OWASPは、ドラッグ アンド ドロップ スタイルのクリックジャッキング攻撃を回避するために、API 応答で使用することを推奨しています。Content-Security-Policy: frame-ancestors 'none'
ただし、CSP 仕様は、HTML ページがロードされた後、同じコンテキスト内の他の CSP ルールは効果なく破棄されることを示しているようです。これは、CSP がどのように機能するかについての私のメンタル モデルでは理にかなっていますが、OWASP がそれを推奨している場合、何かが欠けていることは確かです。
HTMLページがすでにロードされ、「メイン」CSPがすでに評価されているという事実の後、XHRリクエストのCSPヘッダーがどのようにセキュリティを向上させることができるかを誰かが説明できますか? それはブラウザでどのように機能しますか?
client - 問題のテストと解決のためのマイページへの XSS 攻撃
XSS をローカルでテストしたいので、HTML ページを 1 つ作成して実行します。
../index.html?q=アラート(123)
また
../index.html?q=%3Cscript%3Ealert(123)%3C/script%3E
しかし、出力にアラートは表示されません。私の作業はどこが間違っていますか?