Tôi đang xây dựng một ứng dụng lai (HTML, CSS, JS + mã iOS gốc), và muốn thực hiện cuộc gọi đến một dịch vụ web, nhưng điều này hiện đang bị chặn bởi Bảo mật XSS.Có thể cho phép Cross Site Scripting (XSS) trong Mobile safari không?
gì tôi cần phải làm gì để tắt tính năng bảo mật này (hoặc nhiều khả năng cung cấp một danh sách trắng được phép kết nối?)
Thanks for the help!
Có.
Bạn có thể sử dụng Cross Origin Resource Sharing, iff bạn được phép configure the server to support it và works on enough browsers cho nhu cầu của bạn.
số
XSS không thể bị vô hiệu hóa trong bất kỳ trình duyệt - nếu tin tặc có thể dễ dàng đánh cắp toàn bộ số tiền từ tài khoản ngân hàng của bạn. Vì vậy, đây không phải là một con đường mà bạn có thể, nên hoặc muốn thực hiện.
Đặt câu hỏi khác nơi bạn mô tả rõ ràng hơn những gì bạn cần đạt được và có thể chúng tôi có thể trợ giúp.
Vì 'trình duyệt' là một phần mềm được viết (mặc dù sử dụng các thư viện có từ trước) bởi OP, đó không phải là trường hợp ở đây. – Quentin
Bạn nghĩ gì về việc bạn sẽ gọi một "tính năng bảo mật XSS"? Tất cả các phương thức tấn công XSS mà tôi biết đều liên quan đến các thủ thuật ** không ** bị ngăn chặn bởi các chứng khoán trình duyệt nội tại, như khai thác các lỗi thất bại để xóa dữ liệu người dùng HTML được ghi lại trên các trang. – Pointy
Hi Aaron- Cảm ơn bạn đã trả lời, để xây dựng: Ứng dụng thực hiện cuộc gọi đến một thiết bị vật lý, nhận thông tin từ thiết bị và hiển thị thông tin. Tôi đã xây dựng ứng dụng bằng cách sử dụng mã iOS gốc hoàn toàn và thực hiện cuộc gọi qua yêu cầu HTTP Post, nhưng khách hàng muốn xây dựng ứng dụng bằng cách sử dụng ít mã gốc nhất có thể (vì vậy nó tương thích với nền tảng chéo) ... Vấn đề là khi mã HTML/JS gốc cố gắng truy cập vào thiết bị vật lý phục vụ dữ liệu, cuộc gọi bị chặn ... – Nathan
*: Tại sao lưu ý lại? –
Đó không phải là XSS. XSS là nơi bạn có lỗ hổng bảo mật cho phép kẻ tấn công thêm JavaScript của họ vào trang của bạn để nó chạy khi khách truy cập đến trang web của bạn (thường là thông qua liên kết từ kẻ tấn công). – Quentin
Bạn đang nói về loại dịch vụ web nào? Chính xác thì bạn đang cố gắng làm gì, và chính xác thì trình duyệt đang làm gì để cản trở nỗ lực của bạn? "XSS" là một chiến lược * tấn công *, không phải là tính năng bảo mật. – Pointy