客户端Javascript漏洞
Javascript vulnerability client-side
我关心的是下一个。
我有一个网页(没有ssl, http://example.com
),在那里我实现一个JavaScript例程,创建一个IFrame到https网页(https://secure.example.edu
)。在这一点上是好的,但如果我想从Chrome控制台我可以改变iframe的位置(即使有一个相同的起源(X-FRAME-OPTIONS)策略)与302永久移动。所以我的问题是,用户是否有可能连接到http://example.com
而不知道iframe位置变化?没有任何代码在example.com
或secure.example.edu
上这样做。
L.E.例如,假设在secure.otherdomain.com上,我有一个提交信用卡的表单。我怎样才能向用户保证,他是提交他的信息到该域,而不是其他。
我怎样才能向用户保证他提交的信息是该域的,而不是其他域的。
你不应该向用户保证任何这样的事情,因为他们可能不会。地址栏显示的是example.com,并且没有显示表单来自何处,用户可以实际验证。它可以是来自example.com的页面元素,指向其他域的iframe,或者动态更改指向攻击者服务器的iframe。
我看到像braintree或taxamo这样的页面使用该选项通过iframe获取支付信息到他们的网页
要求用户在地址栏中没有显示https的页面中输入信用卡信息显然是不安全的,并且明显违反了商家的PCI-DSS合规要求。
一般来说,商家有自己的网站证书,消费者应该信任商家,而不是信任第三方支付处理服务。商家不应该在非https页面上包含持卡人数据表单(通过iframe或任何其他方式),所以如果你发现了一些,他们需要踢。
我认为这从来都不是百分百确定的。
但是,你可以这样做:使用一个普通的浏览器窗口而不是iframe。用户可以在地址栏中查看地址和相关证书。通过使用iframes,对于简单的用户来说,这些重要的信息是隐藏的。
- 为什么不't Javascript对我的输入值进行了一些重新检查
- 创建一个类似链接的按钮,并通过Javascript函数打开一个新的弹出窗口
- 将函数的上下文应用于javascript变量
- XSS 攻击漏洞 - 使用 JavaScript 或 jQuery 调整查询
- 调用客户端 javascript/webpop 的表单的 DoS 风险/漏洞
- 一个 JavaScript 漏洞 - “this”-stealing:
- 在 javascript/jquery 中打开重定向漏洞
- 从客户端切换到服务器端JavaScript(由于在浏览器中禁用JS等漏洞)
- 为什么splice不能填充javascript数组上的漏洞
- 是不是;t JavaScript setTimeout和setInterval存在一些潜在的安全漏洞
- Javascript中的XXE漏洞
- 黑洞漏洞/ Javascript
- JavaScript网站漏洞
- JavaScript也有漏洞
- 如何修复javascript上的XSS漏洞
- 如何解决javascript的漏洞问题
- XSS javascript,漏洞检查
- 客户端Javascript漏洞
- 使用Array's构造函数在漏洞利用工具包中混淆Javascript
- 可能来自暴露链接的 JavaScript 漏洞