个人中心
文章发布
退出
作者热门文章
- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
25
4
Javascript 不允许您像在 C++ 中那样为对象提供私有(private)数据或方法。哦,实际上,是的,通过一些涉及关闭的解决方法。但是来自 Python 背景,我倾向于认为“假装隐私”(通过命名约定和文档)已经足够好,或者甚至比“强制隐私”(由 Javascript 本身强制执行)更可取。当然,我可以想到这不是真的情况——例如人们在没有 RTFM 的情况下与我的代码进行交互,但我受到指责——但我没有遇到那种情况。
但是,有件事让我犹豫了。 Javascript 大师 Douglas Crockford 在“Javascript: The Good Parts”和其他地方反复将虚假隐私称为“安全”问题。 For example , “攻击者可以很容易地直接访问字段并用自己的方法替换方法”。
我对此感到困惑。在我看来,如果我遵循最低限度的安全实践(验证,不要盲目信任,从浏览器发送到我的服务器的数据;不要在我的网站上包含第三方脚本而不检查它们)那么就没有任何情况假装隐私不如强制隐私“安全”。是对的吗?如果不是,假装隐私与强制隐私在什么情况下会产生安全隐患?
最佳答案
本身不是。然而,正如 Crockford 指出的那样,这确实意味着您无法将不受信任的 JavaScript 代码安全地加载到您的 HTML 文档中。如果您确实需要在浏览器中运行此类不受信任的 JavaScript 代码(例如社交网站中用户提交的小部件),请考虑 iframe 沙盒。
作为 Web 开发人员,您的安全问题通常是主要的互联网广告经纪人不支持(甚至 prohibit)构建他们的广告代码。不幸的是,您必须相信 Google 不会提供恶意 JavaScript,无论是有意还是无意(例如他们被黑了)。
这是我作为对 another question 的回答发布的 iframe 沙盒的简短描述。 :
Set up a completely separate domain name (e.g. "exampleusercontent.com") exclusively for user-submitted HTML, CSS, and JavaScript. Do not allow this content to be loaded through your main domain name. Then embed the user content in your pages using iframes.
If you need tighter integration than simple framing,
window.postMessage()may help, allowing scripts in different frames to communicate with each other in a controlled manner.
关于javascript - javascript "fake privacy"是否存在安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14304378/
25
4
0
我正在开发一个聊天应用程序,为此我正在阅读 XMPP XEP-0016用于隐私设置。我在默认列表和事件列表之间很困惑。我应该使用哪种类型的列表进行隐私设置? 我不想在这上面浪费太多时间。帮助我摆脱这种
我正在为一个非营利性客户开发一个网站。想要在网站底部的版权链接。我的问题是他们有任何合法权利吗?我应该输入什么样的信息?等等等等 基本上只添加类似“(c) 2010 [My Client]。保留所有权
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 9年前关闭。 Improve this que
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 关闭 10 年前。 Improve thi
我有 2 个身份,一个用于开源开发——实际上不包含任何个人信息。显然,我还有另一个身份 - 我的真实身份。 这可能是社区 wiki - 但我的问题是与编程相关的,因为当您将软件放在那里时,您以作者的名
关闭。这个问题是opinion-based .它目前不接受答案。 想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它. 7年前关闭。 Improve this
如果运行 NewRelic(带或不带实时用户监控),我需要在网站上的用户隐私政策中声明什么?即收集哪些信息、设置哪些 cookie(如果有)。数据的安全性,无论是总体数据还是个人数据。 最佳答案 Ne
如果运行 NewRelic(有或没有实时用户监控),我需要在网站的用户隐私政策中声明什么?即收集了哪些信息,设置了哪些 cookie(如果有)。他们数据的安全性,聚合与个人。 最佳答案 New Rel
已关闭。这个问题是 off-topic 。目前不接受答案。 想要改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 已关闭10 年前。 Improve th
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 12 年前关闭。 Improve this
Google 代码真正让我困扰的一件事是,它将您的 Google 用户名放在您的项目上以供全世界查看。虽然它不会将 @gmail.com 部分放在名称后面,但不需要天才的垃圾邮件发送者就能将该部分与您
Google Chrome浏览器阻止了localhost。 我正在使用XAMPP和Apache localhost,端口80和443。 Google Chrome是最新的。 我收到以下错误: Your
谷歌眼镜会自动将我用它拍摄的每张照片上传到谷歌的服务器,并将它们放在一个私有(private)的谷歌+文件夹中。我不拍裸照,我不是谷歌的竞争对手,我对政治没有兴趣,但这对我来说还是太毛骨悚然了;我不想
我注意到 TeamViewer 有一些奇怪的地方。如果有人拥有 TeamViewer 帐户,他/她可以仅使用 ID 添加伙伴,然后始终看到该伙伴的状态,即计算机是在线还是离线。 我还没有想出 Team
我的应用(版本 1.13)昨晚被 Apple 审核团队拒绝。 原因: Guideline 5.1.2 - Legal - Privacy - Data Use and Sharing Your app
我想从 Preferences -> Security & Privacy -> General 读取设置我的应用程序中的选项卡。我特别感兴趣的是,如果用户设置了密码,并且“在 sleep 或屏幕保护
Javascript 不允许您像在 C++ 中那样为对象提供私有(private)数据或方法。哦,实际上,是的,通过一些涉及关闭的解决方法。但是来自 Python 背景,我倾向于认为“假装隐私”(通过
我无法发布我的Facebook应用程序,当我在开发人员平台的状态和评论上单击“是”时,我看到此消息“您必须提供有效的隐私权政策URL才能使您的应用程序上线。请转到应用程序详细信息并确保已验证。” 在“
以下代码被 Fortify 识别为“侵犯隐私”类别的漏洞/问题。 sbfOut.append(" validateSSN(document.form1." + name
如何在 Google 新的 reCAPTCHA 中更改或隐藏隐私和条款文本/链接。我试过使用 css 和 jquery,但都不起作用。 这有可能吗? 最佳答案 Changing/removing or
我是一名优秀的程序员,十分优秀!