个人中心
文章发布
退出
作者热门文章
- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
25
4
浏览器允许扩展程序注入(inject)代码、操作 DOM 等。
多年来,我注意到我正在观看的网站(应用程序)上有许多 Uncaught Error (使用 window.onerror),这些错误是由 Firefox、Chrome 和 Internet Explorer(所有版本)上的未知浏览器扩展程序生成的。
这些错误似乎并没有中断任何事情。现在我想增加这个网站的安全性,因为它会开始处理信用卡。我亲眼看到恶意软件/ spy 软件通过修改后的浏览器扩展(无辜的浏览器扩展,修改为向攻击者/脚本小子报告)感染浏览器作为键盘记录器(使用简单的 onkey* 事件处理程序,或只是 input.value 检查)。
有没有办法(元标记等)通知浏览器禁止代码注入(inject)或读取标准或非标准的 DOM?网页已经是 SSL,但这不是这似乎无关紧要(如提示浏览器激活更严格的扩展安全性)。
.
可能的变通办法(相对于简单的元标记而言有点牵强)由其他人建议或超出我的想象:
编辑:谷歌浏览器在隐身模式下禁用扩展程序,但是,没有标准的方法来检测或自动启用隐身模式,因此必须显示永久警告。
最佳答案
能够禁用某人的浏览器扩展通常意味着接管浏览器。我不认为这是可能的。这将是一个巨大的安全风险。您的目的可能是合法的,但请考虑网站管理员以编程方式为用户禁用 addblockers 以使他们查看广告的场景。
最后,用户有责任确保他们在进行网上银行交易时拥有干净的操作系统。用户受到损害不是网站的错
更新我们应该把事情结束。像这样的东西:
<meta name="disable-extension-feature" content="read-dom" />
或
<script type="text/javascript">
Browser.MakeExtension.MallwareLogger.to.not.read.that.user.types(true);
</script>
不存在,我相信在不久的将来也不会实现。使用任何必要的方式来最好地使用当前最新的现有技术,并尽可能安全地设计您的应用程序。不要浪费你的精力去覆盖那些一开始就不应该通过互联网支付的用户
关于javascript - 防止浏览器扩展注入(inject) Javascript 代码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12494456/
25
4
0
我正在尝试测试依赖于其他服务 authService 的服务 documentViewer angular .module('someModule') .service('docu
如果我的网站上线(不要认为它会,目前它只是一个学习练习)。 我一直在使用 mysql_real_escape_string();来自 POST、SERVER 和 GET 的数据。另外,我一直在使用 i
我有以下代码,它容易受到 SQL 注入(inject)的攻击(我认为?): $IDquery = mysqli_query($connection, "SELECT `ID` FROM users W
我一直在自学如何创建扩展,以期将它们用于 CSS 注入(inject)(以及最终以 CSS 为载体的 SVG 注入(inject),但那是以后的问题)。 这是我当前的代码: list .json {
这个简单的代码应该通过 Java Spring 实现一个简单的工厂。然而结果是空指针,因为 Human 对象没有被注入(inject)对象(所以它保持空)。 我做错了什么? 谢谢 配置 @Config
我正在编写一个 ASP.NET MVC4 应用程序,它最终会动态构建一个 SQL SELECT 语句,以便稍后存储和执行。动态 SQL 的结构由用户配置以用户友好的方式确定,具有标准复选框、下拉列表和
首先让我说我是我为确保 SQL 注入(inject)攻击失败而采取的措施的知己。所有 SQL 查询值都是通过事件记录准备语句完成的,所有运算符(如果不是硬编码)都是通过数字白名单系统完成的。这意味着如
这是 SQL 映射声称可注入(inject)的负载: user=-5305' UNION ALL SELECT NULL,CONCAT(0x716b6b7071,0x4f5577454f76734
我正在使用 Kotlin 和 Android 架构组件(ViewModel、LiveData)构建一个新的 Android 应用程序的架构,并且我还使用 Koin 作为我的依赖注入(inject)提供
假设 RequestScope 处于 Activity 状态(使用 cdi-unit 的 @InRequestScope) 给定 package at.joma.stackoverflow.cdi;
我有一个搜索表单,可以在不同的提供商中搜索。 我从拥有一个基本 Controller 开始 public SearchController : Controller { protected r
SQLite 注入 如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚
我可以从什么 dll 中获得 Intercept 的扩展?我从 http://github.com/danielmarbach/ninject.extensions.interception 添加了
使用 NInject 解析具有多个构造函数的类似乎不起作用。 public class Class1 : IClass { public Class1(int param) {...} public
我有一个 MetaManager 类: @Injectable() export class MetaManager{ constructor(private handlers:Handler
我是 Angular 的新手,我不太清楚依赖注入(inject)是如何工作的。我的问题是我有依赖于服务 B 的服务 A,但是当我将服务 A 注入(inject)我的测试服务 B 时,服务 B 变得未定
我正在为我的项目使用 android 应用程序启动、刀柄和空间。我在尝试排队工作时遇到错误: com.test E/WM-WorkerFactory: Could not instantiate co
我不确定这是什么糖语法,但让我向您展示问题所在。 def factors num (1..num).select {|n| num % n == 0} end def mutual_factors
简单的问题,我已经看过这个了:Managing imports in Scalaz7 ,但我不知道如何最小化注入(inject) right和 left方法到我的对象中以构造 \/ 的实例. 我确实尝
在我的 Aurelia SPA 中,我有一些我想在不同模块中使用的功能。它依赖于调用时给出的参数和单例的参数。有没有办法创建一个导出函数,我可以将我的 Auth 单例注入(inject)其中,而不必在
我是一名优秀的程序员,十分优秀!