问题标签 [web-application-firewall]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
django - django 前端和后端分离以确保安全
我用通常的 Django 项目结构在 Django 中编写了一个 Web 应用程序。在我的公司,他们想在不同的服务器上分离前端和后端。前端服务器将具有互联网访问权限,后端将具有强大的防火墙并且没有网络访问权限。我从这个概念中了解到的是,他们希望将后端(view.py)从 Django 项目中分离到共享文件夹(与后端服务器共享)。是否可以将 view.py 文件分离到不同的文件夹,然后将其导入项目?
还有关于同一主题的另一个问题。Django 是否有良好的安全性或需要这样的安全性想法来防止黑客攻击?如果我不能分离后端,我应该采取什么措施来保护我的后端免受黑客攻击?(我已经使用 CSRF 令牌实现了 LDAP 身份验证,并且所有页面都受 @login_required 保护)
django - Web框架实施安全措施时,是否有必要在Web服务器上安装WAF?
虽然 Yii (PHP)、Laravel (PHP)、Django (python) 等现代 Web 框架已经实施了针对 Web 应用程序攻击(如 XSS、SQL 注入、RFI 等)的安全措施,但是否有必要在其上安装 WAF网络服务器?
我用 django 和 nginx 部署了一个项目,我想知道这是否必要?
amazon-web-services - 自定义网站上的 AWS WAF
我有一个不受 WAF 保护的网站。我想为其配置一个 AWS WAF。
我在 AWS WAF 上找不到任何选项来保护自定义网站,只是云端部署。
是否可以保护不使用 Cloud Front 的自定义网站?
azure - 带有 WAF 的 Azure 应用服务
我正在寻找一些 Azure 安全最佳实践建议。我已经看过一些关于如何做到这一点的文章,但如果有必要,则不是。
我有一个客户想迁移到 Azure,他们特别要求我们尽可能坚持使用 PAAS 解决方案。我们将部署的应用程序相当简单,因此一些 Web 应用程序服务将满足要求。
问题是他们一直是相当规避风险和安全意识的,所以我想知道最佳实践是否会说我们需要一个虚拟网络中的每个站点都在一个带有 WAF 的应用程序网关后面,或者我们可以让应用程序服务运行并且默认情况下 Azure 会做的足够多吗?
在他们当前的托管解决方案中,我们有 WAF 和 DDOS 保护,但这只是最近添加的,它几乎是一个勾选框练习。
sharepoint-2013 - SharePoint 中的 Tableau 仪表板视图?
我的客户想使用他们的内部 Tableau Server(位于 DMZ 后面)在面向公众的网站中提供可视化。
我们希望在 SharePoint 网站上展示 Tableau 生成的视图、仪表板、故事板等,而无需将 Tableau 服务器公开到公共 Internet。据我所知,实现这一目标的唯一方法是通过 SharePoint webpart 或 iframe 直接调用 Tableau Server。
有什么方法可以将 Tableau Server 隐藏在防火墙后面,并且仍然能够在公共网站上获取其交互式视图?
现在,我们将 Tableau 托管在我们的内部服务器中,位于 DMZ 防火墙后面
wakanda - Wakanda 2 - 转换 WAF 应用程序
重组我的解决方案/项目文件后,将我的登录侦听器从 required.js 转换为模块(setLoginManager),并确保解决了 API 更改......当初始时,我在浏览器级别显示以下错误正在显示登录页面。
不胜感激任何指导......似乎是与我的应用程序无关的 WAF 相关问题>
apache2 - 使用 nodejs 创建 Web 应用程序防火墙
我想查看是否有人尝试将 xss、sql 注入我的 apache2 服务器,我的想法是在 nodejs 中创建一个 waf,如果连接安全,则重定向到 apache2。有可能吗?
javascript - 客户端请求中的外部 cookie
一些客户端使用额外的 cookie 向我们的 webapp 发送请求,如下所示:
我们的应用程序不会安装此类 cookie。我们使用了一些外部 JavaScript,例如 Google Analytics,但这些脚本都没有这样做。我们的网站只能通过 HTTPS 访问,因此不太可能修改 MITM 请求。
我们使用 WAF,这些请求被阻止,客户不满意。
我想,一些恶意浏览器扩展正试图利用一些流行的网络引擎漏洞。
有没有人遇到过这样的事情?关于这样做的任何想法?
该 cookie 的 PS URL 解码内容是 javascript,其中包含指向http://yieldkit.com/legal-notes/terms-of-service/的链接,但它们可能只是被骗子用来通过他们的攻击获利。
asp.net-mvc - Microsoft Owin,无法从企业网络访问 Azure B2C
我在防火墙后面的服务器上运行 ASP.NET MVC Web 应用程序。“表单身份验证”即将被 Azure B2C 取代。我使用了 Microsoft 的 OWIN 库。
我使用以下教程开始使用 Azure B2C 身份验证。
身份验证在开发机器上本地工作,但是当发布到防火墙后面的服务器时,它在执行时超时
这是网络问题吗?网络侧需要做什么才能使其工作?在某些端口上打开防火墙或使用代理连接到外部世界(Azure B2C)?应该是双向的吗?
amazon-web-services - aws cloudformation WAF 地理位置条件
尝试创建云形成模板以配置具有地理位置条件的 WAF。还没有找到合适的模板。任何指针将不胜感激。
http://docs.aws.amazon.com/waf/latest/developerguide/web-acl-geo-conditions.html