security相关内容
我希望在我的旧版 ASP 经典网站中实现 httpOnly.有人知道怎么做吗? 解决方案 Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly" expires、path 和 secure 等其他选项也可以通过这种方式添加.我不知道有什么神奇的方法可以改变你的整个 cookie 集合,但我可能错了.
..
ASP Classic 中最慢(因此最好)的密码哈希算法是什么? 编辑:对于那些不知道的人,在散列密码时,较慢的散列优先于更快的散列,以帮助减缓彩虹表样式攻击. EDIT2:是的,当然速度并不是哈希选择的唯一有效考虑因素.我的问题假设 所有其他条件相同,首选最慢的哈希方法 哈希密码时.虽然碰撞/逆向工程当然也是一个问题,但我在这个问题中优先考虑速度,因为它可以说是比较流行的密码哈希算法
..
我目前正在尝试保护我的经典 ASP 应用程序免受 XSS 攻击.我在网上遇到了 Microsoft 的 AntiXSS,我想知道这是否适用于经典应用程序? 如果没有,您有任何想法我可以如何对字符串进行消毒吗? 解决方案 为了清理字符串,我将对所有输出进行 HTML 编码,这样您就不必再纠结于特殊字符或巨大的正则表达式了 Server.HTMLEncode(string) 防止跨站
..
客户使用经典 ASP 登录到其基于 Web 的后台. 我已经编写了一个新的 ASP.Net 应用程序以包含在后台,我需要利用现有的登录系统,这样当他们在那里登录时,他们不需要再次登录新的 ASP.Net 应用程序. 登录名和密码以明文形式存储在 SQL Server 数据库中,我可以从我的 ASP.Net 应用程序访问. 集成这些系统的有效方法是什么? 我目前最好的想法是:
..
对于经典的 asp 应用程序来说,防止 sql 注入的有效方法是什么? 仅供参考,我将它与访问数据库一起使用.(我没有写应用程序) 解决方案 存储过程和/或准备好的语句: https://stackoverflow.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-attacks 我可以保护吗通过
..
Selenium 通常用于测试.但是,如果有人决定使用它在网站上自动填写包含个人数据(用户名、密码、信用卡号)的表格怎么办.那会有多安全? 我指的是调用驱动程序对象并将所有这些安全信息传递给它的实际部分.让我们假设在您将信息传递给驱动程序之前,信息是安全存储的. 我想知道汇总您的信用卡和银行帐户的网站是否使用这种方式来代替 api 调用(在后端运行无头浏览器以登录个人资料). 解
..
在很多地方,我看到人们谈论过跨域 XMLHttpRequest,由于某些安全原因,这是不可能的.但是,我还没有找到说明这些安全原因究竟是什么的帖子? 人们提到 JSONP 是很好的替代方案之一.另一种选择是使用 Origin 和 Access-Control-Allow-Origin 标头. 但是,我只想知道跨域使用 XMLHttpRequest 会引发哪些安全问题? 解决方案
..
如果数据是 URL 编码的,通过 HTTP GET 发送登录凭据是否足够安全? 解决方案 一点也不.URL 编码很容易可逆.您应该加密传输层(即使用 HTTPS)
..
我正在使用第三方库,它使用 new XMLHttpRequest 生成原始 XMLHttpRequest. 这绕过了我的 CSRF 保护并被我的 Rails 服务器击落. 有没有办法将预定义的 CSRF 令牌 ($('meta[name=csrf-token]').attr('content')) 全局添加到 的所有实例XMLHttpRequest 在实例化时? 解决方案 我建
..
据说不是将所有域都添加到 CORS,而应该只添加一组域.然而,添加一组域有时并非易事.例如.如果我想公开一个 API,那么对于每个想要调用该 API 的域,都需要联系我以将该域添加到允许的域列表中. 我想在安全隐患和减少工作量之间做出有意识的权衡决定. 我看到的唯一安全问题是 DoS 攻击 和
..
我对 CORS POST 请求的安全方面有点困惑.我知道网上丢失了有关此主题的信息,但我找不到我的问题的明确答案. 如果我理解正确的话,同源策略的目标是防止 CSRF 攻击,而 CORS 的目标是在(且仅当)服务器同意与托管在其他服务器上的应用程序共享其数据时启用资源共享网站(来源). HTTP 指定 POST 请求不是“安全的",即它们可能会改变服务器的状态,例如通过添加新评论.当使
..
XMLHttpRequest 需要 CORS 才能跨域工作.对于网络字体、WebGL 纹理和其他一些东西也是如此.一般来说,所有新的 API 似乎都有这个限制. 为什么? 绕过它非常容易:只需要一个简单的服务器端代理.换句话说,服务器端代码不被禁止做跨域请求;为什么是客户端代码?这如何为任何人提供任何安全保障? 而且它是如此不一致:我不能 XMLHttpRequest,但我可以
..
我正在开发一个 JSON/REST Web API,为此我特别希望第三方网站能够通过 AJAX 调用我的服务.因此,我的服务正在发送著名的 CORS 标头: 访问控制允许来源:* 这允许第三方网站通过 AJAX 调用我的服务.到目前为止一切都很好. 但是,我的 web api 的一部分是非公开的,需要身份验证(带有 OAuth 和 access_token cookie 的相当标准的东西
..
在 Firefox 中,如何在 Chrome 中执行相当于 --disable-web-security 的操作.这已经发布了很多,但从来没有一个真正的答案.大多数是附加组件的链接(其中一些在最新的 Firefox 中不起作用或根本不起作用)和“您只需要在服务器上启用支持". 这是临时测试.我知道安全隐患. 我无法在服务器上打开 CORS,尤其是我永远无法允许 localhost 或类似的
..
我最近不得不将 Access-Control-Allow-Origin 设置为 * 以便能够进行跨子域 AJAX 调用.我觉得这可能是一个安全问题.如果我保留该设置,我会面临哪些风险? 解决方案 Access-Control-Allow-Origin: * 可以完全安全地添加到任何资源中,除非该资源包含受标准凭据以外的东西保护的私有数据.标准凭据是 cookie、HTTP 基本身份验证和
..
我想知道是否有人对本声明所关注的使用 chromedriver 的具体风险有更多信息. “如果可能,请使用无法访问敏感本地或网络数据的测试帐户运行 ChromeDriver.绝不应使用特权帐户运行 ChromeDriver." 想知道使用特权帐户时的具体风险是什么,以及是否可以采取任何预防措施来防范这些风险. 提前感谢您! 解决方案 Google Chrome 浏览器的工
..
我有几个我喜欢在 Windows 10 上的 PowerShell 中使用的别名. 我希望它们在会话之间保持不变,因此我将它们放在 C:\Users{username}\Documents\WindowsPowerShell 下的 profile.ps1 文件中. 我收到这个烦人的“无法加载,因为在这个系统上禁用了正在运行的脚本".错误消息,并找到了有关如何摆脱它的页面:https:/
..
Windows 10 的安全功能有时会阻止我的应用程序安装程序不受信任,并显示“此应用程序已被阻止以保护您".(我的安装程序经过数字签名.)有 解决方法可供最终用户使用,但这不是一个好的用户体验. 我应该怎么做才能让 Windows 10 从我的公司网站下载应用程序时信任我的应用程序? 解决方案 您可以通过使用受信任的代码签名证书进行签名来提高您的声誉.成熟的企业通过以前使用过代码签
..
首先介绍一下我的问题的背景. 单个实体可以拥有读取权限. 如果用户未通过 读取 权限检查,他们将无法看到该实例. 该问题涉及引入 Lucene 并执行搜索,该搜索仅返回匹配实体实例的列表.然后,我的代码将需要一一过滤实体.这种方法效率极低,因为存在这样的情况:用户可能只能看到一小部分,而检查许多以返回少数并不理想. 开发人员将使用什么方法或如何解决此问题 - 请记住,索引和搜索
..
我定义了多个角色,每个角色对内容和媒体项都有不同的限制,我想根据当前登录用户的访问权限限制返回的搜索结果,而不是显示结果和用户然后出现“拒绝访问"页面.某些内容显然可以被外联网\匿名访问,因此无论如何都应该为所有用户返回它们. 安全性遵循标准 Sitecore 实践 所以将使用角色继承(角色中的角色),因此也需要考虑到这一点. 我在 高级数据库爬虫模块中看不到任何内容会有所帮助,我已经
..