问题标签 [web-application-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 解析 X-Forwarded-For 时如何避免 DNS 查找
在我的应用程序中,实际上可以诱导应用程序执行任意域名的服务器端 DNS 查找,因为 X-Forwarded-For 请求标头值被服务器盲目信任。
当有人将带有 X-Forwarded-For 请求标头的请求作为“易受攻击的服务器”(例如:X-Forwarded-For:evilsrver.net)截获时,如何在此处防止 DNS 查找。
我发现这张有趣的票https://github.com/akka/akka/issues/19388 建议进行主机过滤。
有没有其他方法可以解决这个问题?
asp.net - Asp.net web.config 语法问题
我正在开发用于消除安全漏洞的 asp.net 应用程序。我要讨论的漏洞是“ X-XSS 保护”和“点击劫持”。我进行了搜索并点击了这个链接。我刚刚使用了“在 Web.Config 中使用<customHeaders>”标题下的解决方案
在此之后,当我运行应用程序时,我收到 500 internal server error: HTTP Error 500.19 - Internal Server Error。在标签detailed error information下Config Error它说Unrecognized element 'add'。
在此之后,我删除了结束标签</add>并留下了<add name="X-Frame-Options" value="DENY"/>,现在应用程序可以正常运行。
在以下几点上,我需要一些帮助:
- 为什么上面链接中给出的语法不起作用?
- 谁能解释以下几行的重要性:
<add name="X-Frame-Options" value="DENY"/> <add name="X-XSS-Protection" value="1; mode=block"/> <add name="X-Content-Type-Options" value="nosniff "/>
我知道这些是额外的安全标头。谢谢