Bonnes Pratiques Web & Cloud
58.8K views | +0 today
Follow
Bonnes Pratiques Web & Cloud
Internet
Administration cloud et développement web
Curated by Mickael Ruau
Your new post is loading...
Your new post is loading...

Popular Tags

Current selected tag: 'cross domain'. Clear
cross domain 4
CORS - partage des ressources entre origines multi 3
xss 3
Cookies 2
ajax 1
analytics 1
CRSF 1
iframe 1
JSONP 1
securite 1
Scooped by Mickael Ruau
Scoop.it!

AJAX cross-domain – AWS

From defeo.lu - November 19, 2018 5:28 AM

Deux documents ne provenant pas du même domaine ne peuvent pas accéder aux contenus respectifs :

  • Pas d’accès au DOM, aux cookies, aux URLs, …
  • Pas d’accès entre fenêtres et entre frames.

Cependant

  • Les scripts inclus avec <script> ont plein accès (conséquence : SOP ne peut pas bloquer le JavaScript injecté) ;
  • Autres balises violant la SOP (et pour cause) : <img>, <link>, <embed>, <object>, <iframe>, <bgsound>, <audio>, <video>, …
  • window.name viole la SOP (pas très utilisé) ;
  • window.postMessage : violation contrôlée de la SOP.
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Tracking : Comment réaliser un suivi cross-sites complet avec Google Analytics ?

Tracking : Comment réaliser un suivi cross-sites complet avec Google Analytics ? | Bonnes Pratiques Web & Cloud | Scoop.it
From converteo.com - November 19, 2018 4:59 AM
La spécificité du tracking cross-domain tient à la nécessité de mettre un place un suivi de performance sur plusieurs domaines au lieu d’un seul, en garantissant une continuité du suivi dans Google Analytics (GA).
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

XSS, CORS, CSRF (Partie 3)

XSS, CORS, CSRF (Partie 3) | Bonnes Pratiques Web & Cloud | Scoop.it
From phackt.com - November 19, 2018 5:11 AM

Bienvenue dans ce dernier volet de notre Saga XSS (partie 1, partie 2).

Dans notre précédent article nous avions récupéré un cookie de session insuffisamment sécurisé grâce à une vulnérabilité XSS.

Mickael Ruau's insight:

La première chose pour un site souhaitant faire du CORS est de bien positionner les origines autorisées avec le header Access-Control-Allow-Origin. Ce dernier doit stipuler explicitement les origines autorisées pour bénéficier pleinement de l’utilisation des XHR (rappelons que l’utilisation de ces headers concernent les XmlHttpRequest, une iframe par exemple n’émettra pas de header Origin et sera soumise à la Same Origin Policy).

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Awesome XSS : Une liste de ressources et articles pour bien comprendre la problématique des failles XSS

Awesome XSS : Une liste de ressources et articles pour bien comprendre la problématique des failles XSS | Bonnes Pratiques Web & Cloud | Scoop.it
From www.lafermeduweb.net - November 15, 2018 7:29 AM
Awesome XSS stuff. Contribute to s0md3v/AwesomeXSS development by creating an account on GitHub.
more...
No comment yet.
Sign up to comment
About Follow us Resources Terms Mobile Features
Facebook
X
LinkedIn