security 第10页 - IT屋-程序员软件开发技术分享社区

如何保护小部件免受伪造请求

假设您有一个 JavaScript 小部件，当且仅当用户想要单击它时，它才需要向您的 Web 应用程序发出请求.您不希望此请求易受 CSRF 攻击，因此您将 iframe 写入页面.根据源继承规则，父站点将无法读取 CSRF 令牌.但是点击劫持(或 likejacking )呢?由于 CSRF，您必须在 iframe 中，并且对于 x-frame-options 无能为力，并且frame-bust ..

发布时间：2022-01-18 22:09:04 javascript security browser widget clickjacking 前端开发

Shadow DOM 是否能够保护元素?

目标:一个封装的小部件假设我是一个显示朋友列表的小部件的开发者，例如: 你的朋友 Michael、Anna 和 Shirley 喜欢这个网页！第一种方法:创建 span 的脚本天真地，我创建了一个脚本，将这些信息放在网站上的 span 中.但是，ExampleSite 的所有者现在可以通过简单的 DOM 操作访问您朋友的姓名！这是一个很大的隐私/安全问题. 第 ..

发布时间：2022-01-18 22:07:02 security dom widget web-component shadow-dom 其他开发

针对 Windows 7 中的注册表操作限制的解决方法?

好吧，因为在 xp 中大多数人都以管理员身份登录 - 程序员很容易使程序与注册表一起工作.我想做的是: 软件已启动，并作为启动进程添加到注册表中 - 但是这应该仅在应用程序关闭时完成 - 而不是之前. 但是，当用户受限时，这在 xp 中不起作用，而在 vista,7,2008 中也是如此. 有什么解决方法?我正在考虑让程序创建计划任务或附加到具有更高权限的进程?有什么工作方式吗? ..

发布时间：2022-01-18 11:19:47 .net windows security windows-7 uac C#/.NET

在 Windows 7 上调用 IPrincipal.IsInRole

我们在应用程序中使用 NTLM 身份验证来确定用户是否可以执行某些操作.我们使用他们当前 Windows 登录的 IPrincipal(在 WinForms 应用程序中)，调用 IsInRole 来检查特定的组成员身份. 要检查用户是否是机器上的本地管理员，我们使用: AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.Wi ..

发布时间：2022-01-18 11:15:16 c# .net security windows-7 ntlm C#/.NET

用于调用 wso2 安全 Web 服务的独立 java 代码

我在 wso2esb 上有一个安全的 Web 服务.它基于用户名令牌. 现在，我想创建一个独立的 Java 程序来调用这个 Web 服务.我很难弄清楚如何做到这一点. 你能帮我解决这个问题吗? 感谢和问候. 解决方案这种方式访问安全的web服务，估计你用的是UT场景: 字符串 trustStore = null;配置上下文 ctx = null;字符串 polic ..

发布时间：2022-01-17 23:01:13 security service web wso2 esb 其他开发

Checkmarx - 如何验证和清理 HttpServletRequest .getInputStream 以通过 checkmarx 扫描

以下是 checkmarx 问题的详细信息无限制的文件上传源对象:req(第 39 行) 目标对象:getInputStream(第-41行) 公共类 JWTLoginFilter 扩展 AbstractAuthenticationProcessingFilter{//...38 public Authentication attemptAuthentication(HttpSe ..

发布时间：2022-01-17 21:35:02 java spring-boot security sonarqube checkmarx Java开发

如何为 LDAP+SSL 连接验证服务器 SSL 证书

我们的应用程序适用于 Active Directory 用户和组.我们在端口 389 上使用 LDAP 进行 Active Directory 操作.现在，我们的一位客户希望我们添加一个使用 LDAP + SSL 进行 Active Directory 通信的选项. 他们告诉我们，他们在其域中安装了本地 CA，并为 LDAPS 使用自签名证书.他们还告诉我们他们会提供证书，不需要相互信任，我 ..

发布时间：2022-01-17 19:41:47 c# security ssl active-directory ldap C#/.NET

如何在 Jenkins 中创建用户并将其添加到组中以进行身份验证?

我选择使用“Jenkins 自己的用户数据库"安全领域进行用户登录，因为我无法在公司中使用 LDAP.当您决定将主机名或端口号更改为其他名称时，Google 的 OpenID 会出现问题. 我使用“基于项目的矩阵授权策略"架构来保证我的安全性. 但我似乎无法创建自己的组，并将用户添加到组以管理权限. 解决方案根据 Jenkins 首席开发人员 Kohsuke Kawaguch ..

发布时间：2022-01-17 19:32:22 security ldap hudson openid jenkins 其他开发

在容器请求 LDAP 用户角色的过程中挂钩

在我的应用程序中，我使用基于表单的身份验证和 LDAP-Realm.对于授权，我使用数据库.据我了解，它的工作原理如下 App -->(用户，通过)-->LDAP询问“用户"的安全角色-->JACC/数据库 ..

发布时间：2022-01-17 19:29:54 java security jakarta-ee ldap Java开发

http 和 https 的区别

HTTP 和 HTTPS 标头有什么区别? 在 HTTP 上使用 HTTPS 有什么好处? 网站HTTPS需要做哪些设置? 我们可以使用 HTTPS 仅用于登录目的，然后使用 onwords HTTP 吗? HTTPS 中是否存在任何威胁? HTTPS 所需的处理时间是否比 HTTP 长? HTTPS 是否比 HTTP 花费更多? 解决方案在 HTTP 上使用 HTT ..

发布时间：2022-01-17 17:29:23 security http https http-headers 其他开发

在 Java 中，如何在不生成 String 对象的情况下从 HttpServletRequest 标头中提取密码?

处理敏感数据(== 密码)的通用 Java 安全指南建议不要使用 String 对象来存储数据，而是使用字节或字符数组.我正在尝试在 HttpServlet 处理程序中应用此指南.特别是，我使用了一种类似基本身份验证的方法，其中凭据在标头中传递(这是一个 GET 请求，所以没有正文). 我遇到的问题是，在不生成 String 对象的情况下似乎无法获取标头数据，这违反了从一开始就制定的准则.我 ..

发布时间：2022-01-17 17:24:10 java security servlets passwords http-headers Java开发

CSRF 和 X-CSRF-Token 的区别

在 HTTP 标头中使用 X-CSRF-Token 或 token 有什么区别在隐藏的领域? 何时使用隐藏字段，何时使用标题，为什么? 我认为 X-CSRF-Token 是我使用 JavaScript/AJAX 但我不确定的时候. 解决方案 CSRF 保护有多种方法. 传统方式(“同步器令牌"模式)通常涉及设置每个请求的唯一有效令牌值，然后在随后发送请求时验证该唯一值.通常通 ..

发布时间：2022-01-17 17:18:43 security http-headers csrf csrf-token 其他开发

从 https 页面转到 http 页面时是否发送了 HTTP 标头Referer?

经过几次测试，我开始得出结论，当从 https 页面单击 http 页面时，浏览器不会发送 Referer HTTP 标头. 这是出于什么安全原因?是在标准中的某个地方定义的吗? 解决方案 HTTP RFC 声明，在 15.1.3 在 URI 中编码敏感信息部分 : 客户端不应包含Referer(非安全)HTTP 中的标头字段请求引用页面是否为使用安全协议传输. 所以，这 ..

发布时间：2022-01-17 17:01:33 security http https http-headers 其他开发

在什么情况下 HTTP_REFERER 会为空

我知道有可能得到一个空的 HTTP_REFERER.在什么情况下会发生这种情况?如果我得到一个空的，是否总是意味着用户更改了它?得到一个空的和得到一个空的一样吗?在什么情况下我也会得到它? 解决方案最终用户会/可能为空在浏览器地址栏中输入网站 URL. 通过浏览器维护的书签访问了该网站. 在窗口/选项卡中作为第一页访问了该网站. 点击了外部应用程序中的链接. 从 http ..

发布时间：2022-01-17 16:43:52 security http-headers cross-domain http-referer referrer-policy 其他开发

将函数源代码添加到源代码控制存储库时如何正确处理 local.settings.json 文件中的机密

我有一个 Azure 函数，它的 local.settings.json 文件中有一些秘密. 当我想在 GitHub 中分享我的函数的源代码时，有哪些最佳做法? 到目前为止，我可以想到以下选项，但每个选项都有一些问题或挑战: 1- 请记住在我提交更改时更改 local.settings.json 中的秘密.提交完成后，撤消更改，以便我可以运行该函数并对其进行调试.此选项非常容易出 ..

发布时间：2022-01-17 16:05:04 git security azure-functions 其他开发

TrustZone 与 Hypervisor

我只是在阅读这个文档来自 ARM 的 TrustZone，有些事情我不清楚. Hypervisor 提供了一种特殊的 CPU 模式，而对于 TrustZone，处理器带有一个额外的第 33 位:是't mode 也是一个特定的位设置?那么，额外的一点如何在安全性方面产生所有这些差异.我确实理解额外的位为两个单独的 32 位地址间距让路，但除此之外，我无法将两个和两个放在一起.有人能清楚地解 ..

发布时间：2022-01-17 13:39:52 security arm hypervisor trust-zone 其他开发

如何集成 Spring Security 和 Struts2

我已经在谷歌上搜索了很多关于这个问题的内容，但到目前为止，我找不到任何关于集成 Struts2 和 Spring Security 的教程. 我的问题是如何集成 Spring Security 和 Struts2? 如果我希望限制某些操作或页面，例如管理页面/url 只能由管理员访问，以及其他类似的事情，如果用户尝试访问该页面，他或她将被重定向到另一个页面. 解决方案假设您需 ..

发布时间：2022-01-16 22:22:56 java spring security struts2 spring-security Java开发

Struts2 + 类加载器漏洞 + 如何重现

如何重现安全问题 CVE-2014-0094.我用谷歌搜索，但找不到任何相同的参考. 解决方案搞定了. 我必须启用日志记录(对于 ognl 包)才能看到错误. 将 class.classLoader.resource.dircontext.docBase=someText 等参数传递给 struts2 应用程序. localhost:8080/sampleApp/sho ..

发布时间：2022-01-16 22:09:26 security struts2 classloader 其他开发

将现有用户和密码迁移到新的 Symfony/sfDoctrineGuard 用户系统

我有一个现有的、非基于框架的 PHP/MySQL 网站.它有一个简单的安全模型，有一个包含用户名和散列 (MD5) 密码的用户表. 我目前正在开发这个网站的“版本 2"，这次使用 Symfony 和 Doctrine.新版本运行良好，我正在使用 sfDoctrineGuard 插件进行用户管理. 我想以最少的麻烦将现有用户迁移到新应用中，同时保留他们现有的用户名和密码.不过，我的主要问 ..

发布时间：2022-01-16 18:11:19 security symfony1 passwords doctrine sfdoctrineguard 其他开发

在经典asp中清理输入的好方法

我必须更新工作中的旧项目.虽然我熟悉 php 脚本，但我没有任何经典 asp 的经验. 有什么我应该使用的功能吗? 能否为我提供一些基本保护的好功能? 在 asp 中有没有类似参数化查询的东西? 谢谢！解决方案是的，您可以在经典 ASP(更准确地说，经典 ADO)中使用参数化查询. 这是一个链接. 至于编码输出，我可能想为最新的 Microsoft Anti ..

发布时间：2022-01-16 16:06:02 security asp-classic sanitization 其他开发

security相关内容