問題タブ [cross-site]

Google アナリティクスと機能的に似た Web サイトを構築しています。私は分析を行っていませんが、他の Web サイトに機能を追加する 1 行の JavaScript または 1 行の iframe を提供しようとしています。

具体的には、埋め込みコンテンツは、新しいウィンドウをポップアップし、ユーザーがいくつかのアクションを実行できるようにするボタンになります。最終的にユーザーは終了し、ウィンドウが閉じます。その時点で、ユーザーがフローを完了したことを反映してボタンが新しい要素に更新されます。

ポップアップ ウィンドウは私のサイトからコンテンツを読み込みますが、私の質問は JavaScript の埋め込み行 (または iframe) に関するものです。これを行うためのベストプラクティスの方法は何ですか? Google アナリティクスと最適化された JavaScript を使用して、ホスト ページを変更します。明らかに、iFrame も機能します。

私が抱えているセキュリティ上の懸念は、誰かが埋め込みコードをあるサイトからコピーして、別のサイトに置くことです。私のスクリプト/iframe を実装する各ページ/サイトの組み合わせには、サイトの開発者が私のサイトの認証済みアカウントから生成する一意の ID があります。次に、適切な埋め込みコードを提供します。

私の最初の考えは、ページ/サイトの組み合わせに固有の url パラメータを使用して、サイトからページをロードする iframe を使用することでした。そのルートに行く場合、ページが特定のドメインまたは URL プレフィックスに埋め込まれた iframe からのみ読み込まれることを確認する方法はありますか? 同様のことをJavaScriptで実現できますか?

この投稿は非常に役に立ちましたが、ユーザーが対話するコンテンツを実際にポップアップ表示するため、私の使用例は少し異なります。心配なのは、私の埋め込みをホストしているサイトの敵が、自分のユーザーを偽ってウィジェットを使用するように誘惑することです。これらのユーザーは、敵のサイトに代わって私のサイトと対話していると信じていますが、実際には友好的なサイトに代わって対話しています.

Chrome アプリケーションを作成しようとしていますが、変更を加えたときに自動的に更新されるように livereload を使用したいと考えています。しかし、次のメッセージが表示されます—</p>

エラーメッセージ：

manifest.json ファイルに次のセクションを追加しましたが、クロムは警告を発し始めました。

警告 -

この拡張機能をインストールしようとすると、次のような警告が表示されました。「content_security_policy」は、拡張機能と従来のパッケージ アプリに対してのみ許可されており、これはパッケージ アプリです。

アップデート：

バックグラウンド スクリプトを使用してウィンドウを作成すると、この問題が発生します。つまり、マニフェスト ファイルにこれがある場合

バックグラウンドスクリプトを使用しない場合は、代わりにこれを使用してください-

その後、すべてがうまく機能します。誰かがなぜこれが起こっているのか説明できますか?

私がホストしている Dropwizard を、Google クラウド (GCE) で Web サイトと共に使用しています。これは、現在アクティブな場所が 2 つあることを意味します。

Some.IP.Address - UI Some.IP.Address:8080 - Dropwizard サーバー

UI がドロップウィザード サーバーから何かを呼び出そうとすると、クロスサイト オリジン エラーが発生しますが、これは理解できます。しかし、これは私にとって問題を引き起こしています。これを修正するにはどうすればよいですか? UI でリソースを完全に修飾する必要がないように、どうにかしてアドレスをスプーフィングできれば素晴らしいことです。

私がやろうとしているのはこれです：

$.get('/プロバイダ/アップロード/表示情報')

または、完全に資格を取得する必要がある場合

$.get(' http://Some.IP.Address:8080/provider/upload/display_information ')

この Google グループのスレッド ( https://groups.google.com/forum/#!topic/dropwizard-user/ybDOTOxjlLI )に従って Dropwizard で Origin Filters を設定しようとしましたが、うまくいかないようです。

xss の脆弱性を悪用する必要がある状況があります (学術目的のため - 課題のため)

だから私がしなければならないのは、URLの横にjavascriptまたはjqueryを追加し、同じサーバーにあるオーバーページにリダイレクトすることだけです。

私は打たれました。リダイレクトに苦労している理由がわかりません：

具体的な詳細は次のとおりです。

実際の URL:
example.com/xss/index.php?username=Administrator

これには、ユーザーがパスワードを入力するテキスト入力ボックスとボタンがあります (パスワード入力が成功すると、example.com/xss/login.php に移動します)。

しかし

にリダイレクトする必要がありますexample.com/xss/fake.php

参照:
http://leakybox.cs.hut.fi/xss/index.php?username=Administrator

この質問は、JSP/サーブレット ベースの Web アプリケーションと ASP.NET MVC ベースの Web アプリケーションにわたるクロス サイト送信に関するものです。以下のように、ASP.NET Web プロジェクトから別の ASP.NET MVC プロジェクトに NameValueCollection オブジェクトを送信できます。

ASP.NET MVC プロジェクトには、以下のようにこの送信をキャッチする WebAPI があります。

以下のような私のViewModel定義

したがって、ASP.NET MVC アプリケーションが呼び出している最初の WebProject を、Java ベースの Web アプリケーションに置き換える必要があります。WebClient の代わりに別の Java クラスを使用して同じ送信を行い、NameValueCollection タイプを同じ ASP.NET MVC アプリケーションに送信するにはどうすればよいですか? この送信は、ViewModel を介して上記のように ASP.NET MVC アプリケーションによって受け入れられる必要があります。

最初は、HTML プルダウン メニューとアプレットを備えた Web ページがありました。これらのプルダウン メニューはそれぞれ、アプレット関数を呼び出す JavaScript 関数をトリガーします。アプレットは、プルダウン メニューを有効/無効にする JavaScript 関数も呼び出します。

問題は、ほとんどのブラウザーがアプレットの z-index を無視するため、HTML プルダウン メニューがアプレットによって切り取られることです。私が見つけた唯一の解決策は、アプレットを iFrame に配置することでした。

これで、HTML プルダウンによってトリガーされたアプレットへのすべての JavaScript 呼び出しが壊れます。アプレットによって呼び出される Javascript が壊れています。

すべての JavaScript 関数は、親ウィンドウにロードされる 1 つの大きな JavaScript ファイルに格納されます。

私はこのようなことをしてきましたが、それは大変な作業になり、メンテナンスが困難になります:

これは問題なく動作しますが、親ウィンドウと IFRAME Web ページの両方でラッパー JavaScript 関数も作成する必要があると思います。また、JavaScript 関数は jQuery を使用して ID で HTML プルダウン要素にアクセスしていますが、これもリファクタリングする必要があります。これは大変な作業になります。

親ウィンドウと IFRAME の間で JavaScript を呼び出す簡単な方法はありますか? 親ウィンドウと iframe オブジェクトの間でこのすべての関数マッピングを行うことは避けたいと思います。すべての JavaScript 関数は、親ウィンドウにロードされた 1 つの JavaScript ファイルに格納されます。

HTML プルダウン メニューが親ウィンドウにあり、アプレットが iFrame にあることを追加したいだけです。これは、プルダウン メニューがアプレットによって切断されないようにする唯一の方法です。

前もって感謝します。

Django は XSS 攻撃を処理するのに非常に強力であることがわかりました。テンプレート xss_form.html に単純なテキストフィールド フォームを書きました。

そしてview.pyで：

では、テキストフィールド ボックスにスクリプトを入力して、ブラウザに警告ボックスを表示させることができることを誰もが知っていますか?

ありがとう！