问题标签 [security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
3 回答
307 浏览

asp.net - 作为 ASP.NET 程序员,我是否需要担心电子邮件注入攻击?

有很多关于这个主题的 PHP 文章,所以这是一个 PHP 唯一的问题。当然,经过一些正则表达式检查后,我正在使用 System.Net.Mail 发送电子邮件。类似于http://weblogs.asp.net/scottgu/archive/2005/12/10/432854.aspx

0 投票
5 回答
272 浏览

security - 什么是确保页面安全的干净/简单的方法?

假设您有一个收集和提交敏感信息的表单,并且您希望确保永远不会通过不安全(非 HTTPS)方式访问它,您如何最好地执行该策略?

0 投票
13 回答
15967 浏览

php - 唯一密钥生成

我正在寻找一种方法,特别是在 PHP 中,我将保证始终获得唯一的密钥。

我做了以下事情:

但是我发现有时我会得到一个重复的键(很少,但经常)。

我也想过这样做:

但是根据 PHP 网站,uniqid() 可以,如果 uniqid() 在同一微秒内被调用两次,它可以生成相同的密钥。我认为添加 rand() 它很少会,但仍然可能。

在上面提到的行之后,我还删除了 L 和 O 等字符,这样用户就不会感到困惑。这可能是重复的部分原因,但仍然是必要的。

我想到的一个选择是创建一个网站,该网站将生成密钥,将其存储在数据库中,确保它是完全唯一的。

还有其他想法吗?是否有任何网站已经这样做了,它们有某种 API 或者只是返回密钥。我找到了http://userident.com但我不确定密钥是否完全唯一。

这需要在没有任何用户输入的情况下在后台运行。

0 投票
6 回答
33053 浏览

security - 在 ASP Classic 中究竟如何配置 httpOnly Cookie?

我希望在我的旧版 ASP 经典站点中实现 httpOnly。有谁知道该怎么做?

0 投票
11 回答
17420 浏览

security - 自动生成的密码中要避免的字符

我需要生成一些密码,我想避免可能相互混淆的字符。是否有明确的我应该避免的角色列表?我目前的清单是

il10o8B3Evu![]{}

还有其他容易混淆的字符对吗?对于特殊字符,我将自己限制在数字键下,尽管我知道这取决于您的键盘国籍!

作为一个骑手的问题,我希望我的密码是“wordlike”你有一个喜欢的算法吗?

谢谢 :)

0 投票
4 回答
711 浏览

asp.net - 现场 asp.net web.config 设置

我最近才开始使用 asp.net 和 c#。是否有适用于实时最终网站的 web.config 设置的标准实践集?似乎有很多可用的选项,我希望简化性能、关闭可能的安全漏洞和其他不必要的选项。

0 投票
5 回答
10711 浏览

php - 如何保证 mySQL 数据库的安全?

我将实施一个PHP/mySQL设置来存储信用卡信息。

这似乎AES_ENCRYPT/AES_DECRYPT是要走的路,

但我仍然对某一点感到困惑:

如何保证加密密钥的安全?

将其硬连线到我的 PHP 脚本中(它将与数据库位于同一服务器上)似乎是一个主要的安全漏洞。

这里的“最佳实践”解决方案是什么?

0 投票
8 回答
369 浏览

sql - 数据安全是否应该在数据库端进行?

我们正在为我们的新内部应用程序建立一个新的框架和开展业务的方式。我们当前的设计要求所有安全逻辑都应该由我们的数据库处理,所有信息(我的意思是全部)都将通过存储过程进出数据库。

理论上,数据访问层从存储过程请求信息并将身份验证传递给数据库。数据库确定用户的角色/权限并决定是否执行任务(无论是检索数据还是进行更新)。

我想这意味着更少的数据库事务。一次调用数据库。如果安全性在我们的数据访问层,这将需要 1 次数据库调用来确定用户是否具有适当的权限,然后需要 1 次单独的数据库调用来执行操作。

一方面,我发现 SQL 管理工作室完全缺乏 IDE。我主要担心的是,我们最终将不得不在存储过程中维护一些令人讨厌的业务逻辑,以获得一些非常小的性能提升。

现在,我们将 LINQ 用于我们的 ORM。它看起来轻巧快速,但最重要的是,它真的很容易快速开发。

维护成本是否值得性能提升?我们是否自欺欺人地认为甚至会有明显的性能提升?还是我们只是在为自己做噩梦?

我们的环境:

  • 内部的非关键业务应用程序
  • C#/ASP.NET 3.5
  • 视窗 2003
  • 微软 SQL 服务器 2005
  • 35 个中型 Web 应用程序,大约 500 个用户
0 投票
3 回答
14876 浏览

sql-server-2005 - 用户无权运行 DBCC DBREINDEX

我在 SQL Server 2005 中收到以下错误消息:

为了运行命令,我必须赋予用户哪个最低角色?

0 投票
3 回答
2896 浏览

security - 非对称密钥容器的互转换性(例如:X.509、PGP、OpenSSH)

非对称加密密钥基本上可以在主要密钥容器格式之间相互转换吗?例如,我可以将 X.509 密钥文件转换为 PGP 或 OpenGPG 密钥文件吗?

并且 - 假设答案是肯定的 - 将一对密钥以任何格式保存并转换为该场合所需的任何容器文件格式是否“安全中立”?

我有点厌倦了为 X.509、OpenGPG 和 SSH 维护这么多密钥对,因为它们的核心都是 RSA。