NoScript ABE -允许远程站点访问本地资源?
我今天在Firefox中遇到了一些问题,比如NoScript的ABE (应用程序边界执行器)和FogBugz以及我们的本地源代码控制服务器。FogBugz案例页可以包含到签入的链接,这样您就可以通过本地服务器的web服务查看源代码更改。
例如:https://SomeCompany.fogbugz.com/default.asp?1234 (案例页)可能包含指向http://SourceCodeControlServer/WebSVN/filedetails.php?...的链接
请注意,SourceCodeControlServer不是一个完全限定的域名,只是一个本地机器名.
即使在阅读了ABE规则语法和功能PDF之后,它似乎也不像广告中所宣传的那样工作,仍然在页面顶部显示“被安倍过滤”的警告信息,试图打开。关闭安倍,或者,老天禁止使用MS,在我的优先事项上还不够高。
有人能提供一些关于为什么以下规则是错误的洞察力吗?
# User-defined rules. Feel free to experiment here.
Site .SourceCodeControlServer
Accept from .SomeCompany.fogbugz.com
Deny回答 1
Stack Overflow用户
发布于 2013-12-17 22:24:56
NoScript在JavaScript控制台(Ctrl J)中记录了全部细节,但我最好的猜测是,FogBugz链接击中了这个更高优先级的默认ABE系统规则。
# Prevent Internet sites from requesting LAN resources.
# This one guards the local network, like LocalRodeo
# LOCAL is a placeholder which matches all the LAN
# subnets (possibly configurable) and localhost
# Configure more in the about:config, noscript.abe.localExtras option.
Site LOCAL
Accept from LOCAL
Deny默认情况下,您的广域网IP也包含在本地防止特定类型的DNS重新绑定。攻击中。规则的排序很重要,第一场比赛就赢了;因此,将Accept from操作移到Site LOCAL系统规则中可能有效:
# Allow links on https://SomeCompany.fogbugz.com/ to access internal services.
Site LOCAL
Accept from LOCAL
Accept from https://SomeCompany.fogbugz.com/
Deny请注意:您信任外部公司(FogBugz)的网页可以访问您的内部资源。
https://stackoverflow.com/questions/20111530
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号