Tôi tò mò, điều gì làm cho an toàn của các cuộc tấn công dựa trên XSS www.jsfiddle.net? Họ có hỗ trợ cho các tài khoản để rõ ràng bất kỳ tập lệnh nào họ chạy trên trình duyệt đều có thể làm những điều xấu xa.Điều gì làm cho JSFiddle an toàn khỏi các cuộc tấn công dựa trên XSS?
Trả lời
Nếu bạn nhìn vào ngăn kết quả cho một fiddle bạn sẽ nhận thấy rằng nó thực sự là một IFRAME trỏ đến một tên miền khác có nghĩa là xây dựng trong an ninh sẽ đá trong đó thường ngăn chặn truy cập vào cửa sổ cha mẹ.
này fiddle ví dụ: http://jsfiddle.net/jomanlk/y9zCK/
là thực sự được phục vụ bởi: http://fiddle.jshell.net/jomanlk/y9zCK/show/
Tôi muốn thêm rằng bạn có thể đăng nhập tại http://fiddle.jshell.net/. Điều này có thể bị lạm dụng bởi tin tặc chuyển hướng đến trang đó, yêu cầu người dùng đăng nhập và sau đó gián điệp id phiên. – Yogu
Làm thế nào bạn có thể ngăn chặn hoàn toàn loại hack này trên jsfiddle? –
- 1. Ngăn chặn các cuộc tấn công XSS
- 2. Ngăn chặn các cuộc tấn công Javascript và XSS
- 3. Giải mã cuộc tấn công XSS này
- 4. Ngăn chặn các cuộc tấn công XSS trên toàn trang web
- 5. Đây có phải là tìm kiếm dựa trên LINQ an toàn chống lại tấn công SQL injection/XSS không?
- 6. ngăn chặn cuộc tấn công XSS qua url (PHP)
- 7. Cookie bảo mật https có ngăn chặn các cuộc tấn công XSS không?
- 8. Vệ sinh các thông số $ _GET để tránh XSS và các cuộc tấn công khác
- 9. html() vs các cuộc tấn công bên trongHTML jquery/javascript & XSS
- 10. Tại sao mã hóa HTML ngăn chặn các cuộc tấn công XSS nhất định?
- 11. tấn công XSS và phong cách thuộc tính
- 12. Ngăn chặn các cuộc tấn công MITM trên máy chủ
- 13. Làm thế nào để khử trùng mã HTML trong Java để ngăn chặn các cuộc tấn công XSS?
- 14. XSS tấn công với javascript trong img src thuộc tính
- 15. Tấn công XSS thực sự hoạt động như thế nào?
- 16. Làm cách nào để tôi có thể cho phép trình chỉnh sửa WYSIWYG và vô hiệu hóa các cuộc tấn công XSS bằng Laravel?
- 17. Tự bảo vệ mình trước các cuộc tấn công Dos
- 18. Proxy ngược lại có làm cho node.js an toàn không?
- 19. Sự khác nhau giữa cuộc tấn công đa va chạm và cuộc tấn công trước hình ảnh đầu tiên hoặc thứ hai trên hàm băm là gì?
- 20. Bảo vệ Amazon Web Services (AWS) S3 khỏi các cuộc tấn công DDoS
- 21. Các cuộc tấn công CSRF có áp dụng cho API không?
- 22. Có các công cụ đa nền tảng để viết các cuộc tấn công XSS trực tiếp vào cơ sở dữ liệu không?
- 23. Javascript vệ sinh: Cách an toàn nhất để chèn chuỗi XSS html có thể
- 24. Làm cách nào để kiểm tra URL của bạn cho các cuộc tấn công SQL Injection?
- 25. Bị tấn công, đoạn mã này làm gì?
- 26. Làm thế nào để tấn công một cách hoàn toàn trên TextView
- 27. Điều gì làm cho một lược đồ dựa trên heap chậm hơn một lược đồ dựa trên stack?
- 28. Người đàn ông trong cuộc tấn công giữa với scapy
- 29. Làm thế nào để bạn ngăn chặn các cuộc tấn công bạo lực trên các dịch vụ dữ liệu RESTful
- 30. Điều gì khiến cho các thành viên trong ví dụ không an toàn và công khai tĩnh?
Mã này được thực sự đang chạy trong một iframe để nó có thể không trực tiếp tham tiếp cận của phụ huynh. – JohnP
Ah, vì vậy nó chạy trong khung nội tuyến có Nguồn gốc khác? Đo la tât cả hả? Làm cho nó một câu trả lời để tôi có thể chấp nhận nó :) – Tower