问题标签 [security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
web-services - 在胖客户端应用程序中保护 API 密钥
在应用程序中,我使用 Secret Keys 来计算 API 调用的哈希值。在 .NET 应用程序中,使用 Reflector 之类的程序从程序集中提取信息以包含这些键是相当容易的。
混淆程序集是保护这些密钥的好方法吗?
java - 如何在 tomcat/java webapps 中配置 HttpOnly cookie?
在阅读了 Jeff 关于保护您的 Cookie:HttpOnly的博文后。我想在我的 Web 应用程序中实现 HttpOnly cookie。
你如何告诉 tomcat 只使用 http cookie 进行会话?
java - 如何在 JNLP 执行期间检测函数是否可用?
我有一个确实应该安装的应用程序,但在使用 JNLP 部署时确实可以正常工作。
但是,使用默认安全选项时,某些 Java 功能(例如)似乎Runtime.exec
无法正常工作。
因此,我想禁用依赖这些功能的 UI 功能。
所以我的问题是,如何在运行时检测某些功能是否可用?
当然,这里的案例研究是Runtime.exec
。
java - java和hibernate的数据“安全”
我目前正在开发的系统需要一些基于角色的安全性,这在 Java EE 堆栈中得到了很好的满足。该系统旨在成为业务领域专家在其上编写代码的框架。
但是,对数据也有要求security
。也就是说,最终用户可以看到哪些信息。
这实际上意味着减少对数据库中行(甚至可能是列)的可见性。
我们使用 Hibernate 来实现持久性。但是,我们使用自己的注释,以免将我们的持久性选择暴露给业务领域专家。
对于基于行的安全性,这意味着我们可以添加一个注释,例如@Secured
在实体级别,这会导致在基础表中添加一个额外的列来限制我们的选择?
对于基于列的安全性,我们可能不得不@Secured
协助查询生成,或者可能使用方面来过滤返回的信息?
我很想知道这也会如何影响hibernate的缓存机制?
我相信很多其他人都会遇到同样的问题,我想知道你是如何解决这个问题的?
非常感激...
php - 你如何在 PHP 中设置使用 HttpOnly cookie
如何在我的PHP apps
as中设置 cookie HttpOnly cookies
?
jquery - jquery ajax 数据发布的安全建议?
我正在使用 jquery ajax 将更新发布回我的服务器。我担心确保我已经采取了适当的措施,以便只有我的 AJAX 调用可以发布数据。
我的堆栈是针对 MySQL 后端的 Apache 上的 PHP。
建议非常感谢!
wcf - 我需要为 net.tcp 服务设置什么 SPN?
我在运行本地 Windows 帐户的 Windows 服务中托管了一个 wcf 应用程序。我需要为此帐户设置 SPN 吗?如果是这样,SPN 需要设置的协议是什么?我知道如何通过 HTTP 为服务执行此操作,但从未为 net.tcp 执行此操作。
javascript - 无需 ssl 的双向密码加密
我正在使用 basic-auth twitter API(不再可用)将 twitter 与我博客的评论系统集成。这个和许多其他 Web API 的问题是它们需要用户的用户名和密码才能做任何有用的事情。我不想处理安装 SSL 证书的麻烦和成本,但我也不希望密码以明文形式通过网络传递。
我想我的一般问题是:如何通过不安全的渠道发送敏感数据?
这是我目前的解决方案,我想知道其中是否有任何漏洞:
- 在服务器上生成一个随机密钥(我使用的是 php)。
- 将密钥保存在会话中,并将密钥输出到 javascript 变量中。
- 在表单提交时,在 javascript 中使用 Triple DES和密钥来加密密码。
- 在服务器上,使用会话中的密钥解密密码,然后销毁会话。
最终结果是只有加密的密码通过线路发送,并且密钥只使用一次,并且从不与密码一起发送。问题解决了?
security - 如何为多个收件人加密一封邮件?
使用两个密钥(可能是基于密码的)完成数据加密的基本原理是什么,但只需要两个密钥中的一个(任何一个)来解密数据?
例如,数据用用户的密码和他的公司密码加密,然后他或他的公司可以解密数据。他们都不知道另一个密码。仅存储一份加密数据的副本。
我不是指公钥/私钥。可能是通过对称密钥密码术,也许它涉及将密钥异或在一起以使用它们进行加密。
更新:我还想找到一个根本不涉及存储密钥的解决方案。
php - 在 PHP 中避免代码注入的最佳方法
我的网站最近遭到了攻击,在我看来,这是一个无辜的代码:
那里没有 SQL 调用,所以我不害怕 SQL 注入。但是,显然,SQL 并不是唯一的注入方式。
这个网站有一个解释和一些避免代码注入的例子:http ://www.theserverpages.com/articles/webmasters/php/security/Code_Injection_Vulnerabilities_Explained.html
您将如何保护此代码免受代码注入?