問題タブ [cross-site]

ajaxを使用して異なるドメインに配置された異なるサービスにアクセスできるプロジェクトを開発して、それぞれから異なるタイプのデータを取得できるようにすることを計画しています。

最初は、クロスサイト スクリプティングが実行できないため、別のアプローチを使用するか、ブリッジを使用する必要があると考えていました (サーバーを呼び出して、舞台裏で他のサーバーを呼び出します)。ブリッジはパフォーマンスの問題になります。

しかし、その後、Google の API を使用して Angular をテストしていたところ、それが機能することに気付きました。つまり、googleapis.com からロードされたスクリプトを使用して、自分の localhost に対して AJAX 呼び出しを行うことができました (ただし、localhost が localhost であるという理由だけで動作する可能性があることはわかっています)。

ここで、mail.mydomain.com、profiles.mydomain.com、media.mydomain.com などの他のドメインへの ajax 呼び出しを含むページを作成できるかどうか疑問に思います。もしそうなら、それはそのように行うことができますか、それとも制限はありますか? 数年前、クロススクリプト ブロックのせいで、そのようなことをするのに苦労したことを覚えているからです。

念のため、Angular を使用してデータを取得し、ビューにペイントする予定です。

ありがとう。

ここで、次のように location.href を使用する JavaScript 関数で正常に location.href = "../Floder1/result.jsp";動作していますが、fortify ツールを使用するとwhich can result in the browser executing malicious code. 、クロスサイト スクリプティングからこれを保護する方法が示されます。どうもありがとう、あなたの答えは非常に高く評価されます。

環境：

新しい CMS を使用して新しい ASP.NET MVC Web アプリケーションで再実装している ASP.NET WebForms Web サイト (Web アプリケーションではない) があります。これらのサイトの第 2 レベル ドメインは同じですが、ホスト名は異なります (例: site1.site.com と site2.site.com)。

WebForms サイトは非常に大きいので、長い時間をかけて WebForms サイトの一部を MVC サイトに移行します。WebForms サイトのすべてのコンテンツが MVC サイトに移動されると、WebForms サイトは廃止され、両方のホスト名が MVC サイトを指すようになります。

問題：

WebForms サイトは基本認証を使用し、MVC サイトはフォーム認証を使用します。どちらもバックエンドで同じ認証サービスと通信し、ユーザーから同じ資格情報を取得します。

ユーザーがこれらのサイトに個別にサインインする必要はありません。サインイン プロンプトが 1 つだけ表示されるはずです。両方のサイトがフォーム認証を使用している場合、これは可能のように見えますが、一方のサイトがフォーム認証を使用し、もう一方が基本認証を使用している場合、これを設定することは可能ですか?

具体的には、ユーザーがフォーム認証を使用してサイトにサインインし、基本認証サイトで認証されること、およびその逆は可能ですか?

マップアドレスを開く別のウィンドウにいくつかの座標を送る必要があります

しかし、マップ ウィンドウのプロパティにアクセスしようとすると、

.......

ブラウザは私に与えます"Error: Permission denied to access property 'atlas'"。

このケースが「クロスサイト スクリプティング」のケースに入ることは知っていますが、マップ ウィンドウに座標を送信してユーザーに表示するにはどうすればよいですか?

ありがとう

コードを書いてから 3 年以上経っています。私は、私が管理していない外部でホストされているサイト ( http://www.example.comなど) にコンテンツを投稿することを許可されています。私のコンテンツは、HTML、CSS、および JS である可能性があります。コンテンツ ページ ( http://www.example.com/MyContentPage )に読み込みたいドロップボックスにたくさんの写真があります。このページはjQueryを使用しています（チェック済み）。

ドロップボックスに画像があり、リストにロードしていますが、画像の数が増えているため、ギャラリーとしてロードしたいと考えています。ただし、ルート フォルダーと相対パスは制御しません。したがって、必要な JS/CSS/画像は、Dropbox または別のドメインからホストする必要があります (CMS ページで参照する必要があります)。

ライトボックス（https://github.com/lokesh/lightbox2/）を見ていたら、必要なフォルダがすべて入っているのですが、ライトボックス2を「インストール」できないので、もっと簡単な方法はないかと思っています。ライトボックス（または同様のもの）を使用してフォトギャラリーを作成します。lightbox2 の css と画像の相対パスを変更するとうまくいくのではないかと考えていますが、わかりません。どんなアイデアでも大歓迎です。

ありがとう。

Facebook ベースの Web アプリがあります。ほとんどのブラウザでは問題なく動作しますが、一部のブラウザでは、ユーザーがログインしようとするとエラーが発生します。シナリオは次のとおりです。

• ユーザーが WebApp の Facebook ログインをクリックします。これは、FB Javascript API を使用してセットアップされます。
• 資格情報を入力します
• ページは次のページに移動するように見えますが、最初のログイン ページにリダイレクトされます。

Javascript コンソール (Chrome) に次のエラーが表示されます。

Uncaught SecurityError: Failed to read the 'contentDocument' property from HTMLIFrameElement: Blocked a frame with origin " https://ourdomain.com/ " が、オリジンhttps://s-static.ak.facebook.com/のフレームにアクセスできないようにしました。アクセスされたフレームは「document.domain」を「facebook.com」に設定しましたが、アクセスを要求したフレームは設定しませんでした。アクセスを許可するには、どちらも「document.domain」を同じ値に設定する必要があります。

ログイン モジュールからすべての IFrame アクセスを削除しました。ただし、まだ同じエラーが発生しています。ここで何が起こっているのか手がかりはありますか？ここでクロスサイト HTTPS リクエストが行われていますか? これを引き起こしている可能性のあるものをどのように検出できますか?

以前は問題として表示されなかった Web サイト上の多数のアイテムをリストしたスキャン レポートを受け取りました。次のコードで、クロスサイト スクリプティングに対する脆弱性は何ですか?

そしてここ：

次に、コンタクトフォームページのいくつかのポイント (lastname パラメーター、emailc パラメーターなど:

どんな助けでも大歓迎です。

詳細

私は私の問題を解決することを望むいくつかの変更を加えました:

また、連絡フォームについては、入力変数を電子メールにエコーするときに既に strip_tags を使用していましたが、問題を回避できませんか? または、入力時に変数もエスケープする必要がありますか? 今のところ、strip_tags または htmlspecialchars を変更しました:

しかし、スキャナは入力コードに関係しているようです:

その入力をエスケープ/サニタイズするためにこれらの行を変更する方法がわかりません。