如果这听起来有点愚蠢,我很抱歉,但我只是在尝试使用oidc-client.js连接到Identityserver4的javascript客户端。服务器创建一个令牌,然后将其发送到客户端,oidc将其存储在会话存储中(据我所知)。假设你在某处的cdn上引用了一个外部javascript库,但不知何故遭到了攻击。怎样才能阻止被攻陷的js访问会话数据中的令牌,并让攻击者访问您试图用令牌保护的任何内容。
谢谢
浏览 10提问于2019-10-31得票数 0
1回答
我们在应用程序中使用CryptoJS。由于CryptoJS使用OpenSSL,我们是否容易受到心脏出血漏洞的影响?如果是,我们可以做些什么来防止它?
浏览 4提问于2014-04-14得票数 0
1回答
一个人可以对Javascript发起XXE攻击,这是真的(或者至少是有道理的)吗?这就是,当尝试用JS解析XML时,它是否处理外部实体?但是这个解析是执行客户端的,对吗?它会对服务器造成什么危害?我们如何防止对Javascript、XML、DOM或Jquery之类的攻击?
谢谢!干杯
浏览 1提问于2014-08-01得票数 1
回答已采纳
4回答
我正在寻找一种方法,以客户端解码RSA分别openssl编码的消息。特殊数据只能在服务器上使用公钥加密存储,这样就没有人能够看到真正的数据--即使在服务器被黑客攻击的情况下也是如此。adminforce中的管理员可以通过将这些文件“打开”到浏览器中,然后一些javascript代码将对数据进行解码,使其永远不会在服务器上解密,只在安全的客户端解密。我真的需要用定制的javascript在浏览器中解码direclty,因为js中的某些算法客户端必须使用这些数据。javascript中
浏览 4提问于2011-06-23得票数 8
回答已采纳
1回答
我被要求调查一个客户端站点的安全性,该网站显然是在访问时抛出抗病毒信息。它被检测为Cufon字体内的黑洞漏洞攻击工具包。这排除了相当多的攻击矢量。是否有可能使用Cufon.js或Prototype.js写入服务器的文件系统,最终使用这些脚本作为黑洞的攻击矢量?
浏览 0提问于2012-11-02得票数 5
然而,我读到了以下内容:为了清楚起见:我正在退出插入的JS客户端,以确保没有任何代码可以扰乱我的服务器。如果用户只执行JS客户端,那么任何恶意操作都将在他或她的pc和浏览器窗口的上下文中执行,对吗?首先,那个人能够做到这一点。
提前感谢!
浏览 18提问于2020-06-01得票数 0
在vue或vue路由器中;是否可以最小化加密路由html/js,并由另一端的vue路由器解密和使用 export default{ data:...methods:..
} 只是为了确保代码最小化,而不是为了攻击/安全而暴露所有客户端代码 注:不使用webpack。导致黑客攻击和安全漏洞的源头。 所以这就是我要找的:加密将在node.js的服务器端完成 解密将在网络面板加载路由后在客户端完成。 因此,现在不是导出默
浏览 87提问于2019-05-06得票数 6
据我所知,HttpOnly cookie不能被客户端js读取,但是浏览器会在任何后续请求中传递它们。如果攻击者能够将js注入到网页中,并向端点发出请求,它仍然会通过,因为所有cookie都会传递,对吗?
HttpOnly cookies的意义是什么?
浏览 7提问于2020-10-22得票数 1
1回答
跨域Javascript安全性
、、、、
我可以知道攻击者如何准确地利用这种类型的漏洞吗?例如,所讨论的JS来自addthis.com (共享按钮等)。为了使此漏洞有效,攻击者必须利用addthis.com,更改他们的addthis.js,然后当我的用户浏览我的网站时,如何在我的客户端浏览器PC上执行这个修改过的addthis.js?下载外部域JS到我们这边并从我们的the服务器运行?还有其他更好、更安全的方法吗?谢谢
浏览 0提问于2015-03-04得票数 2
回答已采纳
简短摘要:美国国家安全局及其盟友经常拦截这样的联系--以数百万计。(强调后加)
虽然我理解从效率的角度来看,让客户端散列密码是不必要的,但我更感兴趣的是,对原始密码进行散列将意味着,即使数据被截获,无论是在服
浏览 0提问于2015-03-04得票数 6
我想知道如何使用backbone.js来使用我的php会话客户端...创建一个“会话主干模型”作为php $_SESSION的“克隆”,这是一个嵌套的模型,其中包含了客户端所需的所有$_SESSION数据。但我担心的是安全性:使用model.fetch,我可以保持会话模型不受黑客攻击?你对此有什么看法?
浏览 3提问于2013-01-20得票数 0
我目前有一个应用程序,我已经做了颤栗,并希望作出一个web应用程序。这个应用程序监听UDP数据,解码信息并显示在屏幕上。研究:从webRTC的角度来看,这似乎是一种可能性,因为它同时支持TCP和UDP:。注意:这个web应用程序监听用户网络的本地IP地址。
浏览 3提问于2019-05-12得票数 4
到目前为止,Node.js (以及它的各种衍生产品)似乎领先于该领域的其他公司。
然而,我不禁注意到,对于所有负责更新客户端(浏览器等)的客户端JS,通信端口显然是在客户端脚本中硬编码的。对我来说(我可能错了),这就像发布服务器的哪些端口是开放的(因此欢迎黑客通过该端口进行攻击)。我是不是太偏执了,或者这真的是一个值得关注的问题?
浏览 1提问于2011-10-19得票数 0
回答已采纳
1回答
我正在尝试使用快递为node.js api编写一个身份验证系统。我注意到,如果我要使用JWT作为身份验证令牌,我有两个选项.我的问题是,将auth令牌存储在cookie中并让客户端将其发送到Auth标头以进行身份验证有什么好处?我想我的想法是,这将提供更多的保护,唯一可能失败的方法是通过一次成功的XSS攻击,然后是成功的CSRF攻击。
后续问题: CSRF令牌是否是一种针对CSRF攻
浏览 1提问于2019-01-29得票数 0
回答已采纳
2回答
但是,客户端id和密钥仍然隐藏在应用程序服务器中,所以恶意应用程序不是也无法执行任何操作吗?
此外,如果已经注册了回调URI,那么单独注册JS源又能完成什么呢?
浏览 1提问于2014-09-23得票数 1
1回答
当用户单击恶意链接时易受攻击。
、、、、
例: Cookie"AuthToken“= "GUID”
攻击者向受害者发送恶意链接,对其状态进行一些更改(发送朋友请求,删除用户,注销受害者.)。
浏览 1提问于2019-05-23得票数 0
回答已采纳
2回答
我听到每个人都说输出编码必须由客户端而不是服务器端完成。我的问题是:它不是因地制宜吗?
钓鱼也可能发生由于XSS。
浏览 7提问于2012-02-11得票数 2
回答已采纳
考虑一个web应用程序,它只包含HTML和JS for Front end,并且与Web API通信。使用这种方法,我需要澄清一些事情,以及一些替代方案。考虑到一个客户端访问此web应用程序(受基于AJAX的Anti CSRF令牌保护),并保持其会话打开,他访问一个恶意网站,该网站包含进行相同AJAX调用以获取CSRF令牌
浏览 3提问于2017-08-16得票数 1
1回答
|-Project |- server每当我从客户端向服务器提出请求时。如何减轻csrf攻击?以确保向服务器发出的请求来自客户端,而不是来自任何其他来源。
浏览 3提问于2020-04-07得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
