security相关内容

如何将CSRF令牌从服务器传递到客户端?

这听起来可能是个愚蠢的问题。我想把这件事说清楚。如果令牌首先发送到客户端,而客户端发回相同的令牌,CSRF令牌如何帮助识别跨站点请求?恶意客户端不会从服务器获得响应吗? 如果我们在发送令牌的同时检查来源,那么令牌检查不会看起来是多余的吗? 如何确保服务器只向授权的客户端提供令牌?将令牌从服务器传输到客户端的最佳做法是什么? 我问了一个相关的问题here,但需要更深入地了解它。所以 ..
发布时间:2022-04-08 18:46:27 其他开发

在重定向过程中保持严格的SameSite会话Cookie策略(&Q;)

假设您有一个网站A,您可以通过PHP会话Cookie控制A受保护页面的登录和导航。因此,为了获得最大的安全性,这些Cookie都是secure、httponly,并且使用的samesite等于Strict,并且仅限于A的域,因此也仅限于主机。 如果登录的用户现在在A确认付款,一些银行/支付服务将自动重定向该用户在相关服务的B页执行后续/多因素身份验证。在客户端响应该附加身份验证后,无论是是还是否 ..
发布时间:2022-04-06 21:50:26 PHP

登录页面上的记住我功能有什么意义?

我想在登录页面上包含“记住我”功能,但我不知道它的实际含义(它是如何工作的)。我在许多网站上看到了不同的用途,但我不知道它的实际含义。 推荐答案 某些Web应用程序可能需要“记住我”功能。这 意味着,在用户登录后,用户将可以从同一用户访问 计算机上的所有数据,即使在会话到期后也是如此。此访问将 在用户注销之前可以使用。 从这里 Using Cookies to implement ..
发布时间:2022-04-06 21:40:17 其他开发

身份验证有多安全!==NULL?火力基地

我使用Firebase已经有一段时间了,但我现在才决定真正研究一下安全规则。 我的问题是,“auth!==NULL”有多安全?是的,我意识到这意味着只有经过身份验证的用户才能访问数据,但获得身份验证的难度有多大?是否有人可以注册该应用程序,然后使用这些凭据将请求直接输入我的数据库? 正如我所说,我是安全规则的新手,因此,如果这是一个显而易见的问题,我很抱歉。 以下是我的安全规则: ..

Firebase FireStore只有在用户具有确切的文档ID时才允许读取

有没有办法让用户只有在拥有确切的文档ID时才能阅读文档? 数据-lang=“js”数据-隐藏=“假”数据-控制台=“真”数据-巴贝尔=“假”> // should fail: db.collection(`docs`).get() // should succeed: db.doc(`docs/${docId}`).get() 这就好比您在Google文档中启用了链接共享,而您只有在拥 ..

必须避免陌生的站点访问者用户代理吗?如果是,是如何做到的?

我正在使用共享主机。 我的网站显示";Err_Connection_Reduced";。 因此,我去拜访了我的(SSL)站点的访问者。 我发现用户代理列表中的常规名称不是 CPanel访问者列表正在显示 用户代理扩展索引我们客户的网络周长。如果您有任何问题或疑虑,请联系:scaninfo@example.com"; 我想知道这是否有害,如果是, 如何避 ..
发布时间:2022-04-03 13:22:22 其他开发

使用外壳脚本进行CGI编程

我需要将TextBox的内容传递给一个变量。即,需要将在html页面的文本框中键入的任何内容传递给变量。这是因为我在Linux外壳编程中调用了HTML(以及CGI)。我需要随心所欲地操作该变量。你有做这件事的主意吗? 我需要做的是,我想从用户那里获得MAC地址作为输入。也就是说,我们应该有一个带有文本框的HTML页面,该用户将能够输入MAC地址。因此,无论用户在文本框中输入什么内容,都需要传 ..
发布时间:2022-04-01 00:00:00 其他开发

防止输入处理不当攻击的Tomcat虚拟主机

我目前正在尝试修复站点漏洞,基本上它是一种“不正确的输入处理”攻击。 假设我的网站是www.mywebsite.com 还有黑客网站www.hacker.com 只要有请求发送到www.mywebsite.com,且修改后的“Host”头指向www.hacker.com,“我的网站”将创建一个指向www.mywebsite.com的重定向,而不管它是什么URL。 例如 正常: ..
发布时间:2022-03-26 19:23:41 服务器开发

在文件为404和302的情况下禁用IIS服务器响应头

我使用以下自定义头和重写规则删除服务器响应头IIS 8.5,但在Firefox或Chrome上打开网络监视器并指向任何状态为404(以及缺少图像)的文件或302(以及aspxerror路径重定向中缺少的目录或请求的文件)时,我可以看到原始的头。 例如,Microsoft网站隐藏了此信息和标头,但访问URL like this将使我可以轻松确定服务器和IIS版本: 服务器Microsof ..
发布时间:2022-03-26 18:46:58 服务器开发

如何保护颤动APP免受逆向工程的影响

我正在尝试使用Ffltter开发支付应用程序,是否有办法保护我的应用程序API和令牌,或者使应用程序具有反向工程证明。 推荐答案 我正在尝试使用Ffltter开发支付应用程序,是否有办法保护我的应用程序API和令牌,或者使应用程序具有反向工程证明。 如果您正在寻找防弹解决方案,即它们在防止对移动应用程序二进制文件进行反向工程以从中提取令牌或机密方面是100%有效的,那么我必须告诉您, ..
发布时间:2022-03-22 14:24:51 移动开发

在JavaScript中依赖全局原生对象,尤其是对象对象安全吗?

首先,我知道,依赖Array构造函数通常是不受欢迎的,因为它可以被其他代码重新赋值,这不是严格模式,而应该使用数组文字[],在这种情况下,他总是依赖本机的实数组(还有一些其他含义,但这是主要的) 但是如何处理Object呢?有一些方法(create、freeze等)。只能通过Object标识符访问。 我查看了AngularJS和SAW的源代码,那里的作者依赖于这些对象(Object、F ..

当进口变更获得授权时,是否可以浏览电子表格?

我已经在Google Drive上创建了几个电子表格。所以我是所有房子的主人。 我有一个电子表格(主文件),它作为主文件将数据导出到我与顾问团队共享的其他电子表格(活动报告)中。导出的数据使他们能够使用列表作为数据验证等,这有助于主文件分析他们的活动(不需要清理数据)。 因为我已经在与顾问团队共享的电子表格上批准了主文件的导入,所以我知道已经创建了一个连接。因此,他们可以更改其活动报告 ..

Cygwin如何/为什么破坏Windows权限?

我们接到“现场”投诉(即来自系统管理员安装软件的投诉),称cygwin“破坏”了NTFS(Windows 7/10/2008/2012等)上的Windows权限。 问题用法 一般用法如下: sysadmin从cygwin bash cmd行启动一些‘软件安装程序’ 安装程序运行正常 sysadmin尝试启动Windows服务 结果: 服务无法启动 解决方法步骤 ..
发布时间:2022-02-28 12:43:44 其他开发

此微服务身份验证/授权体系结构是否有效?

我正在设计一个基于微服务的体系结构。架构应支持多个设备访问API。 为了保护内部资源API%s的安全,我希望实现基于JWT和刷新令牌的身份验证和授权。 我的要求是: 防止攻击者使用XSS窃取用户令牌 防止CSRF攻击 边界安全:即使攻击者可以向内部资源API发送请求,没有签名的JWT也无法执行任何操作 通过单个内部用户API管理用户(身份验证和权限) 可以随时吊销令牌 ..
发布时间:2022-02-28 11:37:16 其他开发

如何保护HTML5中的本地存储?

如何保护HTML5 localStorage的内容不被用户篡改?对于Cookie,我们以加密格式存储信息,用于加密的密码将存储在客户端未知的服务器中。 但是,在localStorage中,信息驻留在客户端,我们将密钥发送给客户端。那么,有没有什么标准的方法来保护localStorage中的信息不被用户篡改呢? 推荐答案 @Mikko Ohtamaa是对的。使用起来就不那么安全了。但是 ..
发布时间:2022-02-25 15:17:01 前端开发