Articles of security

Desinfectar el HTML enviado por el usuario, pero mantener iframes incrustados seguros

Necesito desinfectar las entradas de usuario de html maliciosos y enviadas por CKEditor . Actualmente utilizo owasp-java-html-sanitizer . para este propósito, pero elimina iframes incrustados también. Pero tengo casos de uso genuinos como incrustar un video de YouTube o una presentación de diapositivas en publicaciones. ¿Cómo podría permitir tales iframes incrustados de forma segura? Yo […]

Evita que otros llamen a tu servicio web JSON

Digamos que tengo algún código que crea una página HTML con una llamada de servicio JSON. ¿Cómo puedo evitar que otros copien y peguen el código fuente, llamen al servicio y obtengan el conjunto de resultados para el primer usuario? Si obtengo el dominio como un parámetro para el servicio o si obtengo otro nombre […]

Manejo de bloques de código con Markdown (Paginación)

Apuesto a que estoy usando algo incorrecto aquí … Mi aplicación MVC3 utiliza Pagedown para proporcionar un editor de texto de JavaScript, un convertidor de rebajas y una vista previa en vivo. Utilizo su objeto “santizer” para quitar el código potencialmente peligroso tal como se sugiere en la instrucción: puede verlo en funcionamiento en la […]

Protección de iFrame: solo permite que funcione en un dominio

Tengo un widget que creé y lo estoy incorporando en otros sitios web usando un iFrame. Lo que quiero hacer es asegurarme de que nadie pueda ver la fuente y copiar el código de iFrame y ponerlo en su propio sitio web. Puedo almacenar la URL que debe permitirse en la base de datos. Lo […]

Forma infalible para detectar si el iframe tiene dominio cruzado

Estoy tratando de determinar si cualquier iframe tiene dominio cruzado o no. De acuerdo con la respuesta aceptada en esta pregunta: detectar cuando el iframe tiene dominio cruzado, y luego descartarlo , indica que el código acceda al contentDocument del iframe en un bloque try / catch . Intenté esto para un iframe entre dominios […]

Spring Security 3.1 – Redirigir automáticamente a la página de inicio de sesión cuando se produce el tiempo de espera de la sesión

Tengo una aplicación de wenb basada en Spring y estoy implementando Spring Security 3.1. Lo que necesito es poder redirigir automáticamente a la página de inicio de sesión, cuando se produzca el tiempo de espera de sesión configurado. Estoy implementando páginas web que contienen mucha funcionalidad jQuery, así que necesito poder redirigir automáticamente. Lo que […]

Limpiar todos los eventos en línea de las tags HTML

Para la entrada HTML, quiero neutralizar todos los elementos HTML que tengan js en línea (onclick = “..”, onmouseout = “..”, etc.). Estoy pensando, ¿no es suficiente codificar los siguientes caracteres? =, (,) Entonces onclick = “location.href = ‘ggg.com’” se convertirá en clic% 3D “location.href% 3D’ggg.com” ¿Que me estoy perdiendo aqui? Editar: Necesito aceptar HTML […]

¿Es seguro poner una identificación (se insertará en DB) en una entrada oculta?

Aquí está el resumen de mi código: Mi sitio web simplemente hace un bucle con el contenido de todas las filas de una determinada tabla; Sin embargo, a veces, tendré que obtener una identificación individual de una determinada fila. La entrada oculta funciona, pero sé que será una gran carga para la seguridad. Después de […]

Persistir datos confidenciales en el navegador? ¿Posible?

Me preguntaba si se trata de algún tipo de técnica, por lo tanto, mantenga los datos confidenciales fuera de una aplicación web. Sé que nunca debe almacenar datos confidenciales en el almacenamiento local o las cookies. Al iniciar sesión en un sitio web, un buscador suele preguntar si debería conservar su nombre de usuario y […]

Cómo restringir al usuario para abrir una página php existente?

Estoy trabajando en un problema donde quiero restringir a un usuario para que abra una página PHP Este es mi javascript– $(‘input[id=f1email1]’).on(‘blur’, function(){ var k = $(‘input[id=f1email1]’).val(); if (k != “”) $(‘span[id=showEmail]’).load(’emailCheck.php?email=’ + k); }); emailCheck.php puede acceder directamente a emailCheck.php escribiendo en el navegador y esto podría filtrar cierta información. Ni siquiera puedo redirigir […]