Моя компания изучает Spring MVC, чтобы определить, следует ли использовать его в одном из наших следующих проектов. Пока мне нравится то, что я видел, и прямо сейчас я смотрю на модуль Spring Security, чтобы определить, можем ли мы / должны ли это использовать. Наши требования безопасности...
Я загружаю некоторый HTML в iframe, но когда файл, на который ссылаются, использует http, а не https, я получаю следующую ошибку: [заблокировано] Страница с именем {current_pagename} запускала небезопасный контент из {referenced_filename} Есть ли способ отключить это или как-то обойти это? У iframe...
Баунти истекает через 6 дней . Ответы на этот вопрос могут получить награду +50 репутации. Дэвид Фишер ищет актуальный ответ на этот вопрос: см. комментарий :: stackoverflow.com/questions/16891729/… Я натолкнулся на дискуссию, в которой я узнал, что то, что я делал, на самом деле не засолил...
Каким-то образом при наведении курсора на виджет «плюс + один» может появиться предложение типа подсказки, которое явно больше <iframe>элемента, в котором оно содержится. Я проверил DOM, чтобы подтвердить это. * Так: Какой? Как!? Разве это не большая возможность для кражи кликов, если...
Я пытаюсь понять больше о фиксации и угоне сеанса PHP и о том, как предотвратить эти проблемы. Я читал следующие две статьи на сайте Криса Шифлетта: Фиксация сессии Session Hijacking Однако я не уверен, что правильно все понимаю. Чтобы предотвратить фиксацию сеанса, достаточно вызвать...
Я видел статьи и посты по всей теме (включая SO) по этой теме, и преобладающим комментарием является то, что политика одного и того же происхождения предотвращает POST формы через домены. Единственное место, где я видел, что кто-то предполагает, что политика одного и того же происхождения не...
В настоящее время на этот вопрос проголосовало наибольшее количество голосов : Еще одна проблема, которая не так уж важна для безопасности, хотя и связана с безопасностью, это полная и явная неспособность понять разницу между хешированием пароля и его шифрованием . Чаще всего встречается в коде,...
Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 2 года назад . Улучшить этот вопрос Итак, мы уже проходили через...
Я понимаю, что параметризованные SQL-запросы являются оптимальным способом дезинфекции пользовательского ввода при построении запросов, содержащих пользовательский ввод, но мне интересно, что не так с вводом пользователя и экранированием одинарных кавычек и окружением всей строки одинарными...
С новой облачной функцией firebase я решил переместить часть моей конечной точки HTTP на firebase. Все отлично работает ... Но у меня такая проблема. У меня две конечные точки, построенные с помощью триггеров HTTP (облачные функции) Конечная точка API для создания пользователей и возвращает...
У нас в производстве есть несколько систем сборки, о которых никто не заботится, и на этих машинах работают старые версии GCC, такие как GCC 3 или GCC 2. И я не могу уговорить руководство обновить его до более свежего: мол, «если не сломалось, не чини». Поскольку мы поддерживаем очень старую...
Я хочу добавить на свою общедоступную веб-страницу возможность поиска по регулярным выражениям. Нужно ли мне что-либо делать, кроме HTML- кодирования вывода, для защиты от злонамеренного ввода пользователя? Поисковые запросы Google заполнены людьми, которые решают обратную задачу - используя...
При использовании протокола OAuth вам нужна секретная строка, полученная от службы, которой вы хотите делегировать. Если вы делаете это в веб-приложении, вы можете просто сохранить секрет в своей базе данных или в файловой системе, но каков наилучший способ обработки его в мобильном приложении (или...
Я использую настройки безопасности Symfony. Все отлично работает, но я не знаю, как сделать одну важную вещь: В ветке я могу получить информацию о текущем пользователе, выполнив: Welcome, {{ app.user.username }} или похожие Как мне получить доступ к этой же информации в контроллере? В частности, я...
Я понимаю, что безопасность Spring основывается на цепочке фильтров, которые будут перехватывать запрос, обнаруживать (отсутствовать) аутентификацию, перенаправлять на точку входа аутентификации или передавать запрос в службу авторизации и в конечном итоге позволят запросу либо попасть в сервлет,...
Я только начинаю думать о том, как работают API-ключи и секретные ключи. Всего 2 дня назад я подписался на Amazon S3 и установил плагин S3Fox . Они попросили у меня и мой ключ доступа, и секретный ключ доступа, оба из которых требуют от меня входа в систему для доступа. Поэтому мне интересно, если...
Я слышал, что раскрытие идентификаторов баз данных (например, в URL-адресах) представляет собой угрозу безопасности, но мне трудно понять, почему. Любые мнения или ссылки о том, почему это риск или почему это не так? EDIT: конечно, доступ ограничен, например, если вы не видите ресурс, foo?id=123вы...
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 6 лет назад . Улучшить этот вопрос В настоящее время я оцениваю фреймворки безопасности на...
Закрыто. Этот вопрос не соответствует рекомендациям по переполнению стека . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow. Закрыт 2 года назад . Уточните этот вопрос У меня есть программа, которая считывает...
Я не получаю шифрование Base64. Если можно расшифровать строку Base64, для чего это нужно? Почему он используется для аутентификации HTTP Basic? Это все равно, что сказать кому-то, что мой пароль перевернут на OLLEH. Люди, увидевшие OLLEH, будут знать, что исходный пароль был...