Ответы пользователя по тегу JavaScript
  • Атака из "режима разработчика". Как защититься?

    Нет такой защиты, ее не существует.
    csrf тут не причем, никакой скрипт не пытается выполнится.

    F12 доступна всем, пользователь получил копию документа (HTML, CSS, JS), и может с ней сделать что угодно.
    Точно также он может посмотреть HTTP запрос, и отправлять туда что угодно не используя браузер.

    На хабре давным давно описывали проект, который защищает от подобного. Мол человек заходил из своего браузера в другой браузер, где нет F12, и уже там открывается сайт. Можете погуглить эту статью.

    Клиентский код выполняется и хранится на клиенте, клиент может с ним делать все что пожелает.
    Сервер должен проверять каждый запрос на валидность, не зависимо ни от чего. Любой запрос считается не правильным, если не доказано обратное.

    Посмотрите на Postman, Fiddler2, Burp. Это ПО специально для того что бы смотреть и изменять ответ-запрос.

    Посмотрел комменты к другим ответам.
    - Сервер не должен принимать стоимость товара полученные от клиента как действительную. Клиент получил копию цены, ее значение на момент запроса. Это просто информация для клиента, не для сервера. Только сервер знает текущую стоимость, клиент может запросить ее значение в определенный момент времени, и все.
    А вот что делать если клиент успел выполнить заказ по старой цене, а на сервере уже новая, это задача анализа (для аналитиков).

    Вам достаточно изучить код любого интернет магазина, как реализовано там. Книгу поискать где подобное приложение разбирается.
    Ответ написан
    Комментировать
  • Как вывести html-текст письма запретив js?

    Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment
    Ответ написан
    Комментировать
  • Как избавится от такого хитрого adware?

    procexp.exe - какие dll загружены в процесс, возможно внедряется в браузер и доставляет нагрузку.
    Я встречал:
    1) изменение файла конфигурации Chrome.
    2) китайский софт не понятного происхождения, подписанный каким то сертификатом, с виду не имеющем отношения к браузерам. Dll был в процессе браузера.

    Если атака целевая (влияет только на определенные браузеры) то проблема 99% в вашем локальном ПК, и это exe, dll или настройки прокси в IE или изменение конфигурации. Каждый раз по разному.
    Ответ написан
    Комментировать
  • Дайте пожалуйста совет по изучению Unity?

    Поискать на сайте, не задавались ли подобные вопросы ранее.
    Что изучать для Unity?

    Заходим в гугл, выполняем запрос:
    site:toster.ru Unity учить начать изучить

    Удачи.
    Ответ написан
    Комментировать
  • POST или GET что безопаснее?

    1) GET - отправка данных формы в адресной строке.
    2) POST - данные формы отправляются в теле запроса. (лучше)
    3) Надо использовать SSL,TLS.
    Передавать можно как угодно, но лучше не в чистом виде (хэши), и хранить надо тоже в защищенном виде.

    Microsoft Threat Modeling Tool 2014 - программа моделирования угроз, очень полезна для решения подобных задач. Как использовать можно найти на Youtube.com. Вы задаете среду, она показывает возможные вектора атак.
    www.microsoft.com/security/sdl/adopt/threatmodelin...
    Ответ написан
    Комментировать