[B! angular][xss] teppeisのブックマーク

teppeis id:teppeis

angularとxssに関するteppeisのブックマーク (8)

GitHub - oskarsve/ms-teams-rce
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
teppeis 2020/12/08
Electron製MS TeamsアプリのRCE脆弱性についての解説。AngularJSのexpressionを利用してCSPやElectronのセキュリティをバイパスする

teams

electron

angular

vulnerability

xss
リンク
DOMのXSSを防ぐTrusted TypesとAngularのセキュリティ機構
A tool that connects everyday work into one space. It gives you and your teams AI tools—search, writing, note-taking—inside an all-in-one, flexible workspace.
teppeis 2019/05/13
trusted-types

xss

angular
リンク
An Abusive Relationship with AngularJS
An Abusive Relationship with AngularJSAI-enhanced description The document discusses security issues with AngularJS and summarizes four general attack vectors: A1: Attacking the AngularJS sandbox by bypassing restrictions on dangerous objects and methods. Early versions had trivial bypasses but later versions required more creative techniques. A2: Attacking the AngularJS sanitizer, which aims to s
teppeis 2015/12/14
AngularJSのセキュリティ周りについてby Mario

angular

security

xss
リンク
Google Code Archive - Long-term storage for Google Code Project Hosting.
Code Archive Skip to content Google About Google Privacy Terms
teppeis 2014/07/11
angular

security

xss
リンク
AngularJSとサーバーサイドテンプレートの混在とngNonBindable
Angularとサーバーサイドテンプレートの混在先日リリースされた某サービス(他社)がAngularを使っていて、XSSがボロボロ出てくるだとか、{{var}} な形式で値を入力するとng-template側でテンプレーティングされるだとかの話がありました。詳しくは見ていないので、今回の話とまったく同じかは把握していませんが、サーバーサイドテンプレートを混在させると、次のようなことが起こりえます。例えばejsとAngular サンプルとしてスカスカなControllerを用意します。 angular.module('app', []).controller('AcmeCtrl', function($scope) { $scope.foo = 'bar'; }); ejsは次のようなテンプレートになっているとします。
teppeis 2014/04/14
両方使うけど、サーバー側テンプレートはpure HTMLは生成するけど、クライアントテンプレートを生成することは少ない気がする。

angular

security

xss
リンク
3分で分かるAngularJSセキュリティ - teppeis blog
先日のng-mtg#4 AngularJS 勉強会でLTしようと思ったけど申し込みが間に合わなかったのでブログに書きます。先月リリースされたAngularJS 1.2はセキュリティがんばってる的なことを聞いたので、セキュリティ周りの仕組みを調べてみました。お題は以下です。 CSRF JSON CSP (Content Security Policy) Escaping CSRF ユニークなトークンをHTTPリクエストに載せてサーバーでチェックする対応が世の中では主流（最近はカスタムヘッダのチェックによる対策も） AngularJSでは、XSRF-TOKEN Cookieにトークンが載っていると、$httpを使ったHTTPリクエストのヘッダに自動的にX-XSRF-TOKENヘッダーが付く。 XSRF-TOKEN CookieはもちろんNot HttpOnlyで。 Angular界ではCS
teppeis 2013/12/06
書いた！

angular

security

xss

self

csrf
リンク
https://communities.coverity.com/blogs/security/2013/04/23/angular-template-injection
teppeis 2013/10/10
angular

xss

closure

template
リンク
feat($sce): new $sce service for Strict Contextual Escaping. · angular/angular.js@bea9422
teppeis 2013/08/14
AngularJS 1.2で追加されたStrict Contextual Escapingについて。Closure TemplatesのContextual Autoescapeみたいなものか？

angular

template

security

xss
リンク
1

お知らせ

もっと読む

公式Twitter

@HatenaBookmark
リリース、障害情報などのサービスのお知らせ
@hatebu
最新の人気エントリーの配信

キーボードショートカット一覧

j次のブックマーク

k前のブックマーク

lあとで読む

eコメント一覧を開く

oページを開く

設定を変更しましたx