問題タブ [websecurity]

クロスドメイン AJAX 呼び出しを含むサーバー側のコードを変更せずに簡単なテストを実行しようとしていますが、--disable-web-securityもう使用できるかどうか疑問に思っていました。Chrome 28 では動作しないようです。

Chrome バージョン 21 以降は使用していません。この機能は削除されましたか?

CORS がサーバー上で適切にセットアップされ、特定のオリジンのみがサーバーにアクセスできるようになっている場合、

これはCSRF攻撃を防ぐのに十分ですか?

最近、ハッキングされた友人のウェブサイトを乗っ取りました。サードパーティによって多くの追加ページが追加されました。だから私はいつものことをしました：

1. パスワードを安全なものに変更する
2. 使用していないテーマとプラグインを削除する
3. （バックアップがないので復元できません）
4. 最新の wp 4.8.2 に更新します (すでに存在していました)
5. wpの新規インストールとwp管理ファイルに対してチェックを実行します（それらは一致しました）
6. wp-config でソルトをリセット --> エラー

ソルトをリセットすると、503 エラーが発生します。

これは、Cookieを無効にするだけだと思っていました。エラーなしで塩を変更できない理由について何か考えはありますか?

私の現在の理論では、悪意のあるコードがどこにあっても、これらの変更が妨げられているか、変更された場合は 503 エラーが発生するというものです。

wp-config ファイルは標準です。

乾杯ブレンダン

アプリケーションで lodash と fabric js を使用していますが、どちらもコンテンツ セキュリティ ポリシー (CSP) に従っていません。

エラーの表示:

CSP 準拠の lodash と fabric js の両方を取得する方法はありますか?

次のシナリオを想像してください。

API と Web アプリケーションを作成しました。ユーザーは Web アプリからサインアップし、一意の API キーを受け取ります。次に、アカウントの「クレジット」を購入できます。これは、単にドルを 1 対 1 で表したものです。

ユーザーが API 呼び出しを実行すると、API キーが渡されます。このキーは、顧客を識別し、必要に応じてクレジットを差し引くために使用されます。

ここには明らかな問題があります。ユーザーが自分のサーバーからこの呼び出しを実行し、キーが非公開に保たれている場合、すべて問題ありません。しかし、独自のサーバーを持っていない顧客にはどのように対処すればよいでしょうか? たとえば、単純な Android アプリをサーバーなしで Play ストアに公開したユーザーが、私の製品を統合したいと考えているとします。キーはクライアント側に保持する必要があります。その後、悪意のあるユーザーがアプリケーションの難読化を解除し、キーの所有者のクレジットを使用して不正な API 呼び出しを実行する可能性があります。

この問題はどのように解決できますか? このシナリオを処理する方法はありますか?