问题标签 [security-constraint]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
jsf - 安全约束阻止访问时如何发送消息或重定向用户
我的 web.xml 中有以下安全约束
它工作正常。但我想重定向用户(已经登录的用户具有一些分配角色但不是角色管理员)。在这种情况下。当用户尝试访问 url http://mywebap//administrator/ * 他从服务器得到响应
我不会在这里显示它,而是将用户重定向到一些更友好的视图。有可能的?
tomcat - 针对不同主机的 Tomcat https 重定向(安全约束)
我正在尝试将调用从 http 重定向到 https,所以:
在我的 server.xml 中,我有两个主机:
我在 /etc/tomcat7/web.xml 上添加了:
因此,所有去往 localhost 主机的请求都被重定向到 https,但是去往 other.name 的请求并没有被重定向。
我想要的只是将到 other.name 的请求重定向到 https,我该怎么做?
我试着把
但没有用。有什么建议吗?
java - 如何在 java 中的应用程序中禁用不安全的 HTTP 方法
我有一个用 Restful webservice 和 java 开发的 web 应用程序。我正在使用泽西库。我的团队在应用程序上运行了 Appscan 工具。该工具显示在 https:///AppName/ 上启用了不安全的 HTTP 方法。
编辑:
- 我想知道如何在这里禁用 DELETE 方法。
- 当我向服务器发出选项请求时,它不应该在标题中的允许方法中列出删除方法。提前致谢。
java - TAI 没有调用而是提示默认领域 websphere
我们正在尝试使用 TAI 拦截器,相同的应用程序在单节点集群上运行良好,但在多节点集群的情况下,它不会调用 TAI,而是提示输入默认领域凭据。
这是 isTargetInterceptor 方法....
并且请求的 url 格式是
https://hostname:443/NASTAIClient/loginServlet?samlartifact=artifactstring
即使我没有给出端口号,它也在 WAS(单节点)中工作,这是我们在不工作 WAS(多节点)中使用的实际格式
https://hostname/NASTAIClient/loginServlet?samlartifact=artifactstring
如果我们为默认领域提供了正确的凭据,它将在浏览器中创建 Ltpa cookie。
依此类推,它创建了 WS 主题。但是 TAI 拦截器没有被调用。我们比较了工作(单集群)WAS 和非工作(多集群)WAS 的不同级别的安全设置。我们没有找到任何特定原因导致 TAI 没有被调用,而是默认领域提示的原因
java - Spring Boot HTTPS 和重定向
我正在将 Spring STS 与 Pivotal 3.1 服务器(端口 8080 和 8443)一起使用,我在盒子上还有一个单独的 tomcat 7 实例,它在 80 和 443 上运行。
我使用 Spring Boot 1.2.4 版本。
我希望应用程序自动将所有请求重定向到 https - 我没有使用嵌入式 tomcat 实例。
以前使用 spring 我在 web.xml 中有标签,它工作得很好。
请问如何使用spring boot实现相同的功能?
谢谢,阿德里安
tomcat - 在 Tomcat 上使用 CORS 进行摘要式身份验证
现在我正在构建一个在 Tomcat 8 上运行的 rest api,它使用 Apache 的 CorsFilter 来允许我在 web.xml 中设置的跨域请求,如下所示:
到目前为止这么简单,我想在我的 Rest-API 中添加一个 DIGEST 身份验证,是的,不是基本的摘要!
为了简单的使用,我想在 web.xml 中使用安全约束:
身份验证和 CORS 过滤器本身可以正常工作,但这里开始出现问题:安全约束由 servlet 容器在 CORS 过滤器之前执行。因此,身份验证算法没有在摘要身份验证标头处设置所需的 CORS(跨域请求标头),因此 CORS 请求将在身份验证时失败,因为摘要 401 页面带有“挑战”(nonce,qop,领域等)缺少跨域请求的必要标头。现在有没有人解决或实施该问题?还是因为 CORS,我真的需要实现自己的摘要过滤器?!
jboss - 带有安全约束的 jBoss CORS 支持
我正在使用 web-common 安全约束向我的 API 添加身份验证,但它似乎破坏了我的 CORS 过滤器。我以前只使用过滤器而不使用应用服务器级别的身份验证。
基本思想是要求对所有请求进行身份验证,除了 /rest/account 端点下的请求,因为这些是处理初始登录的请求,因此需要可公开访问。
在尝试登录时,当 OPTIONS 调用作为 POST 请求的一部分进行时,Chrome 和 Postman 中的测试都会返回 405 Method not allowed 响应。
希望我在下面提供了所有相关的信息,但如果还需要其他信息,请告诉我。提前致谢!
我的 CORS 过滤器
我的安全限制
java - 从服务器端代码访问受安全约束保护的 servlet
我在谷歌应用引擎上运行一个 java 应用程序。我使用安全约束保护了我的管理 servlet:
现在我想从服务器端代码调用这些 servlet 之一。由于这种安全限制,这似乎是不可能的。是否存在阻止普通用户访问此资源但阻止访问来自服务器端代码的调用的角色?还是有另一种方法来解决我的问题?
java - 端口未在嵌入式 tomcat 中重定向
我有一种情况,我需要将请求从非SSL端口重定向到SSL端口。我想出了以下代码,但它似乎没有重定向。
jsf - 在 WildFly 中对安全约束进行 ajax 重定向后,XML 显示为纯文本
我在安全约束上遇到了 ajax 重定向这个奇怪的问题:
当我的会话超时后在角色安全页面上进行 ajax 调用(通过单击可排序p:dataTable列或触发时)时,屏幕上会显示来自 OmniFaces 的 XML。p:poll<partial-response><redirect-url=...
当我删除 OmniFaces 时,ajax 调用似乎静默失败,并且没有显示 XML。
安全性在 web.xml 中配置如下: