标签: browser-security

查找HTTPS页面请求的所有非HTTPS URL列表的最有效方法是什么？如果发生此类安全违规,每个浏览器都会提醒用户,但我找不到一种简单的方法来查找确切的URL导致违规.

到目前为止我发现的最简单的方法是使用Firefox,但即便如此,它仍然不是很方便.首先,我可以右键单击,选择"查看页面信息",单击"媒体"选项卡,然后滚动URL列表.但是,这似乎只列出图像文件,而不是CSS或JS包含,也可能导致错误.对于那些,我必须使用Firebug扩展,选择Net选项卡,并手动将鼠标悬停在每个项目上以查看整个URL.不幸的是,如果你有几十个媒体文件,这可能需要一段时间.有没有更好的办法？

我试图通过这种方式使用控制台在现有网站上包含JQuery:

var script = document.createElement('script');
script.src = 'http://code.jquery.com/jquery-1.11.1.min.js';
script.type = 'text/javascript';
document.getElementsByTagName('head')[0].appendChild(script);

然后我收到了这个错误:

Content Security Policy: The page's settings blocked the loading of a resource at http://code.jquery.com/jquery-1.11.1.min.js ..

在开发过程中,我可能想要包含外部Javascript.我可能不想复制粘贴整个JQuery代码,因为它看起来不整洁.如何为开发目的覆盖内容安全策略？

这对快速测试非常有用.我可能想稍后将我正在编写的脚本转换为浏览器扩展.

注意(更新):我在现有网站上编写脚本,无法控制设置Content-Security-Policy标头.

在典型的https Web场景中,我对浏览器和服务器之间的SSL握手有一点混淆:

到目前为止我所理解的是,在SSL握手过程中,客户端(在这种情况下是浏览器)使用公钥(从服务器接收的证书)加密随机选择的对称密钥.这被发送回服务器,服务器用私钥解密它(对称密钥).现在,在会话的剩余时间使用此对称密钥来加密/解密两端的消息.这样做的一个主要原因是使用对称密钥加速加密.

问题 1)浏览器如何选择并生成这种"随机"选择的对称密钥？

2)开发人员(或/和浏览器用户)是否可以控制这种生成对称密钥的机制？

connect-src在内容安全策略中指定指令是否会放宽浏览器的相同原始策略并允许您进行跨源XHR请求？或者此指令仅用于限制已经合法的XHR(即同一来源调用或CORS启用的调用)？

我正在开发一个电子商务应用程序,它有许多仅限HTTPS的区域.这个特殊的错误只发生在IE中(至少10个,没有尝试过其他的),它只发生在整个应用程序的一个HTTPS页面上.

从研究中我得知这是IE的混合内容警告.这非常令人困惑,因为IE是唯一对此页面有任何问题的浏览器.所有其他相关浏览器都不会抱怨任何混合内容.

任何人都可以了解一下sslnavacancel.htm是什么？或者,如何进一步深入了解哪些资源可能实际导致此问题？

提前致谢.

var inputs = document.getElementsByTagName('input');
for (var i = 0; i < inputs.length; i++) {
    inputs[i].onfocus = foo;
}
function foo(){
    alert(this.value);
}

手动输入输入值时:
无论输入字段的类型如何,上述代码均可正常工作并发出警报.

当浏览器自动填充输入值时:
当输入字段为text类型时,Code会工作并提醒正确的值.如果是密码字段,它会提醒空字符串!

这是因为浏览器的安全策略吗？或者有可能的解决方法吗？我在Chrome浏览器中尝试过它.

网络工作者是否减轻或加剧了JavaScript和浏览器环境中的任何已知安全问题？

我在Windows Server 2008 R2版本上使用IE 11.

我在IE 11上打开了一个tableau URL,然后有一个链接"Export data".

单击"导出数据"时,它会给出javascript错误no such interface supported.

调试错误时,它会windows.open(...)在.js文件中显示行脚本.

我还没有创建画面页面,我对那里没有任何控制权.

这在所有其他机器上运行良好,在IE 8,IE 11在其他机器上测试.

请问,我如何解决这个错误,IE中缺少的配置是什么启用 - Window.open

谢谢

1. 我有一个JavaScript应用程序让我们说它部署在上面portal.example.com.
2. 这包括一个<script>加载来自的服务器的标签assets.example.com.
3. 该JavaScript文件向API发出HTTP请求 admin.example.com

由于CORS飞行前失败,此API请求出错.

Failed to load http://admin.example.com/v0/user/navigation: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://portal.example.com' is therefore not allowed access.

实际OPTIONS要求如下

OPTIONS /v0/user/navigation HTTP/1.1
Host: admin.example.com
Connection: keep-alive
Access-Control-Request-Method: GET
Origin: http://portal.example.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.84 Safari/537.36
Access-Control-Request-Headers: authorization,x-correlation-id,x-user-domain
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,en-GB;q=0.8

实际OPTIONS回复如下

HTTP/1.1 200
Allow: GET
Access-Control-Allow-Headers: authorization,x-correlation-id,x-user-domain
Access-Control-Allow-Methods: GET
Access-Control-Allow-Origin: http://portal.example.com
Vary: …

我一直在尝试使用浏览器中提供的本机登录提示:

并一直关注史蒂文桑德森的博客文章.

如博客中所述,一旦用户输入登录详细信息,浏览器就会Authorization: Basic username:password在将来的所有请求中将标头发送到登录URL.这意味着如果用户注销但未关闭浏览器窗口,则下次访问登录页面时,他们会在访问登录页面时自动登录.有效地,浏览器会存储身份验证详细信息,直到浏览器关闭 - 让您的帐户处于未经授权的访问状态.

有没有办法让浏览器忘记授权信息,以便用户无法重新登录而无需重新输入详细信息？