問題タブ [javascript-security]

ということで、Chrome コンソールで JavaScript を実行できるようだということを今日知りました。私はあなたがこれを行うことができるとは思いもしませんでした。それは実際には本当にクールです。

私の Rails アプリには、外部の JavaScript ページがあります。そのページの変数のいくつかは、JS ファイル内のすべての関数がアクセスできるようにグローバルにしたいと考えています。たとえば、マップがあり、JavaScript ファイルでマップ オブジェクトをグローバルにしたいと考えています。これは、すべての関数が独自のマップ変数を作成するのではなく、1 つのマップ変数にアクセスし、複雑な操作を小さな関数に分割できるためです。

これはすべてうまくいっています。私はそれを行う方法を知っており、完全に機能しています。私の問題は、外部から変数を保護できますか? たとえば、Chrome コンソールからすべての JavaScript クラス変数の値を変更できます。また、マップなどのメソッドはアクセス可能で実行可能です。ページの 1 つでマップ設定をロックしたため、ズーム可能または移動可能ですが、コンソールから簡単に言うmap.setZoom(11)と、マップは 11 にズームされます.. 入力map.dragable = trueして、マップをドラッグすることができます.. これは本当に好きではありません..

ユーザーがマップのドラッグとズームを有効にすることは世界で最悪のことではないので、それほど悪くはありません..しかし、それでもこれを無効にしたいと思います。何か案は？

編集

回答とコメントをありがとうございます。私は、悪意のあるものを JavaScript に入れないようにして、マップ変数を必要に応じて関数に渡すなどして、人々の速度を低下させることに頼るつもりです。

私は数行の Javascript を作成 (およびコピー) しましたが、それは私の目的を十分に果たしています。しかし、これを行うためのより良い方法 (クロスブラウザーとパフォーマンスの向上) を見つけようとしています。関数を友人からコピーしましたisIntegerが、次の条件で文字列値をチェックする理由がわかりません。

上記の条件は正常に機能しますが、数値に対してチェックするように変更すると、機能が壊れます。入力フィールドは、アルファベット文字の受け入れを開始します。変更するとこんな感じ。

何が起こっているのかを理解できるように、セクションをコメントアウトしようとしました。また、このコードにセキュリティ ホールはありますか? 1innerHTML1 メソッドはいくつかのセキュリティ ホールを開く可能性があるため、それを使用して「クリーン」操作を実行する必要があると読みました。したがって、jQuery の.htmlメソッドを使用することにしました (JavaScript は初めてです)。

問題のページ: http://thehotdeal.net/clients/wehtmlit/index.php?order/

非常に単純なAPIがあり、別のサイトで一部のコンテンツをレンダリングするために戻りたいと考えています。apiエンドポイントからのようなものを送信したい（たとえば、<script src ='http：// domain / api / endpoint /1'>のように含まれているhttp://domain.com/api/endpoint/1など） </ script>）：

そしてそれを脱出するだけです。httpsやコンテンツについての心配はありません。二人は漠然とこれは危険だと思っていると言っていましたが、私たちの側で正しく処理した場合（とにかくそうなるでしょう）、実際にはどうなるのかわかりませんか？これは安全ですか？私は何かが足りないのですか？JSONPは、このようなものにはやり過ぎです。可能な限り最も単純な手法が必要です。

事前にt​​hx

秘密の質問。タブが開かないようにするjQueryコードが1つあります。そのため、任意のタブをクリックすると、「アクセスが拒否されました」というアラートが表示されます。

しかし、Firebug やその他のツールを使用してスクリプトを変更できるので、変数validを からfalseに設定するtrueと、すべてのタブにアクセスできるようになります。これを制限する方法はありますか?

そのため、json を介して外部の信頼できないソースから html を受信して​​います。次のように div コンテナに html を表示したい:

最も重要なJavaScriptインジェクションをどのように防ぐことができますか.2番目は一般的にページのスタイルを変更することです. これはすべてクライアント側です。コンテナーの div は、コンテンツの高さに合わせて柔軟な高さにする必要があります (一部の iframe ソリューションを除外する可能性があります)。

更新: 目標は、HTML からすべての JavaScript と CSS を取り除くことです。これには、dom アイテムの属性 (style=""、onclick="" など) に存在する js および css が含まれます。

Microsoft MVC4 Web Api を使用して作成され、WS-Fed を使用して WIF と Windows Azure Active Directory (WAAD) を使用して保護された多数の Web サービスがあります。

これらの Web API にアクセスする必要がある純粋な HTML5/Javascript シングル ページ アプリケーション (SPA) クライアントもあります。

WAAD とのやり取りを処理するための Javascript の既知のサンプル/ライブラリはありますか?

• ユーザーがすでにログインしているかどうかを確認します。
• ユーザーにログインし、必要に応じてセキュリティ トークンを取得します
• 対話が終了したらログアウトします。

そうでない場合、そのようなものを実装するために必要なドキュメントへの推奨リンクはありますか。

私は JavaScript に非常に慣れていないので、ご容赦ください。

たとえば、関数をパラメーターとして JavaScript の別の関数に渡すかどうか疑問に思っていました (免責事項: コードは 100% 正しいとは限りませんが、アイデアを得る必要があります!):

これは潜在的なセキュリティ リスクですか、それとも JavaScript での一般的なプログラミング方法ですか?

ありがとう。

いくつかの方法で配列を作成できます。

または：

2 番目の方法は、新しい Array() 構文よりも安全に使用できます。これは、Array コンストラクターが上書きされ、悪意のあるコードに置き換えられる可能性があるためです。

多くの JavaScript の本で上記の行を見てきましたが、Arrayコンストラクターがどのように上書きされ、悪意のあるコードに置き換えられるのか理解できませんか? 問題の現実を理解できるように、誰かがそれを行う方法の例を探しています。