問題タブ [cross-site]

最近、自分のサイトでセキュリティ スキャンを実行したところ、使用されている JS ファイルの 1 つに DOM クロス サイト スクリプティングの問題があるというフラグが付けられました。修正方法がわかりません。

ファイル: jquery.address1.4.js

フラグが付けられたコード部分のスクリプトは次のとおりです。

これであるコード行：

スキャンは入力をサニタイズするように言っていますが、サイトに「入力」がないため、それが何を指しているのかわかりません. 上記のコードを修正して、セキュリティ スキャンを通過できるようにするにはどうすればよいですか?

編集:これは _l の値です

から：

Nokia Series 40/クラウド プレビューに展開した場合、ajax は実行されません (PS - Nokia はプロキシ サーバーを使用して電話で Web アプリを実行しました)。ajax 呼び出しは、デスクトップ ブラウザーとローカル プレビュー (Nokia Web ツール) で機能します。

完全なコード - http://pastebin.com/dZFKPv1s

設定：

リモート測定ステーションがあり、集中収集/処理/提示サーバー (Web サーバーを使用) があり、収集されたデータを顧客に表示する観測ステーションがあります。

これらの観測ステーションは、中央サーバーからそれぞれ 1 つの特定の Web ページを表示するキオスク モードで動作する Web ブラウザーを備えた、最低限の単純な組み込みコンピューターで構成されています。この Web ページは、特定の測定ステーションの最新の測定値を表示する AJAX で更新されます。固定モニターに接続されたこれらのステーションは、何年もほとんどメンテナンスフリーで稼働するはずです。

これでほとんどの問題は解決しましたが、問題は次のとおりです。Web サーバーに障害が発生した場合はどうなるでしょうか。ブラウザは、「到達不能」、「404」、「許可が拒否されました」、「500」、またはその時点でサーバーが取ったあらゆるモードの障害を読み込み、誰かが観測ステーションを手動で再起動するまでそこにとどまります。

私が思いついた一般的な解決策は、ブラウザーのホームページを監視対象のページではなく、常に利用可能なローカル HTML ファイルに設定することです。このファイルは、リモート ページが読み込まれて正しく更新されているかどうかを定期的にチェックし、失敗した場合は再読み込みします。何らかの理由で実行する。

問題：

問題はクロスフレームスクリプティングにあります。ターゲットWebページは、フレーム、iframe、テキスト/HTMLタイプのオブジェクト、またはローカルの「コンテナ」ファイルを削除/無効にせずに表示する他の方法としてロードする必要があると思います. 数年前にクロス フレーム スクリプティング ページを作成しましたが、セキュリティ対策を回避するのは簡単ではありませんでした。それ以来、セキュリティは強化されたに違いありません。

そのため、リモート サーバーからロードされたページには、すべてがうまくいった場合は定期的に (setInterval で) 起動される JavaScript が含まれており、何かが壊れている場合は起動されません。このシグナルがコンテナ フレームに定期的に到着すると、タイムアウトがリセットされ、他のアクションは実行されなくなります。

シグナルが届かない場合は、タイムアウトの期限が切れると、サーバーが修正されて適切なコンテンツがロードされるまで、コンテナーはロードされた Web ページの定期的な更新を開始し、そのことをローダーに通知します。

特定の関数がトリガーされるたびに、リモート ページが file:// URL からロードされたローカル (コンテナー) ページに "生きている" (たとえば、変数を設定する) ことを知らせるにはどうすればよいですか?

ASP.NET アプリケーションは既定でクロスサイト スクリプティングから保護されますか? machine.config ファイルにはデフォルトで on に設定されている属性があり、これによりクロスサイト スクリプティングから保護されると読みましたか? これは本当ですか？

クロスサイト フォージェリ攻撃を防ぐために、リファラー フィールドで HTTP リクエストをフィルタリングします。私はそれが悪い考えであることを知っており、私はすでに ASP.NET MVC 組み込みの偽造防止メカニズムを使用していますが、私たちの顧客は、HTTP 要求のリファラー フィールドを変更することによってクロスサイト偽造攻撃をチェックする特別なセキュリティ ユーティリティを持っています。

私の質問は、許可されていないドメインを受け取ったときに何をする必要があるのですか? どの http コードを返し、どのページをユーザーに表示する必要がありますか?

404 not found のようなカスタム ページにするか、単にメイン ページにリダイレクトするか。

一般的な慣行とは何ですか？

HTML、CSS、Javascript コードを使用してフロントエンドを構築するアプリケーションを使用しています。バックエンドは、コア Java、Restlet を使用して作成されます。

本当の問題は、フロントエンドとバックエンドの両方が、差分ポートを備えた差分サーバー上にあることです。のように、フロントエンドはオンです: http://clientLookup(ほんの一例) そしてバックエンドはオンです,http://lcgrke:8080

Ajax RequestまたはjQuery Ajaxを介してフロントエンドからサーバーまたは残りの呼び出しを送信すると、クロスサイドスクリプティングの問題が発生します（SOP - 同じオリジンポリシー）。これを回避する方法がわかりません。

JSONP はオプションの 1 つにすることができますが、GET タイプの呼び出しでのみ機能しますが、私のアプリケーションでは GET/POST 要求があります。また、サーバーの一部の URL は JSONP が有効にならないため (理由は聞かないでください。編集できないことを受け入れてください)、JSONP はより良いオプションではないようです。

この問題を回避する方法を教えてください。

サイト A のボタンがクリックされたときにサイト B から Cookie を削除するイベントをトリガーする関数を Firefox 拡張機能に追加しようとしています。サイト A と B はドメインを共有していませんが、サイト B はサイト A に挿入された iframe で実行されています。サイト B からの Cookie。

ボタンに割り当てられたクリックリスナーと発火があります。拡張機能を使用して、Google Chrome でこれと同じ効果を既に達成しています。コンポーネントの使用に関するエラーが表示されますが、コンポーネントの代わりに使用するソリューションが見つかりませんでした。Firefox 22 以降でのみ動作する必要があります。addon-sdk-1.14 を使用して拡張機能を開発しています。

ContentScript.js

Main.js