问题标签 [websecurity]

我正在尝试在不更改任何涉及跨域 AJAX 调用的服务器端代码的情况下进行简单测试，我想知道是否可以再使用它--disable-web-security。它似乎不适用于 Chrome 28。

从 Chrome 版本 21 开始我就没有使用过它；这个功能被放弃了吗？

如果 CORS 在服务器上正确设置为仅允许特定来源访问服务器，

这足以防止 CSRF 攻击吗？

Chrome 允许我们禁用同源策略，因此我们可以测试跨源请求。我想知道是否有可能在 IE 中做同样的事情

我有一个关于在链接上使用 CSRF 令牌的问题。就我而言，我想用 CSRF 令牌保护我的删除链接。我已经找到了如何做到这一点：

在我的模板中，我使用Twig的csrf_token()函数：

在我的控制器中，isCsrfTokenValid()方法：

所有这些工作都很好，但我有一个关于 CSRF 令牌的一般性问题，如您所见，我为每个删除链接（例如：、、...）使用不同的令牌，deleteTube-1对象deleteTube-2id 在令牌 id 中。然后，在我的会话中，我创建了很多 CSRF 令牌。

这是一个好方法，还是我应该对一个类的所有删除链接使用相同的标记？使用令牌 ID，例如：deleteTubefor Tube、deleteCommentforComment等？我认为最好为每个链接使用不同的令牌，但也许这是开销？

我已经使用 websecurity 类在 mvc4 中创建了一个帐户，如下所示：

我的用户已成功创建......现在我想：随时激活/停用用户。

以便用户仅在其帐户处于活动状态时才登录，否则他将无法登录。

我怎样才能做到这一点？

我有配置

我想包括所有路径的视图只是这条路径/base/includepath。

我该怎么做？

我最近接管了一个被黑客入侵的朋友网站。第三方添加了许多附加页面。所以我做了通常的：

1. 将密码更改为安全的东西
2. 删除未使用的主题和插件
3. （没有备份所以无法恢复）
4. 更新到最新的 wp 4.8.2（我们已经在这里）
5. 检查新的 wp 安装和 wp 管理文件（它们匹配）
6. 在 wp-config 中重置盐 --> 错误

重置盐给我一个 503 错误。

我认为这只是应该使cookies无效。关于为什么我不能在没有错误的情况下更换盐的任何想法？

我目前的理论是，无论恶意代码在哪里，它都会阻止这些代码的更改，或者如果它们确实发生了更改，则会出现 503 错误。

wp-config 文件是标准的：

干杯布伦丹

在我的应用程序中使用 lodash 和 fabric js，但两者都不符合内容安全策略 (CSP)。

显示错误为：

有什么方法可以同时获得符合 CSP 的 lodash 和 fabric js？

我不太了解 SVG 标准及其扩展。但是，我已经读过，SVG 图像可以执行一些脚本。

在网站上显示任何（用户上传的）SVG 图像是否安全？

想象以下场景：

我已经构建了一个 API 和一个 Web 应用程序。用户将通过 Web 应用程序注册，并收到唯一的 API 密钥。然后他们可以为他们的账户购买“信用”，这只是美元的 1:1 表示。

当用户执行 API 调用时，他们会传入他们的 API 密钥。此键用于识别客户，并根据需要减去信用。

这里有一个明显的问题。如果用户从他们自己的服务器执行这个调用，并且密钥是保密的，那么一切都很好。但是，我将如何处理没有自己服务器的客户？例如，假设一个用户在没有服务器的情况下向 Play 商店发布了一个简单的 Android 应用程序，并且想要集成我的产品。密钥必须保留在客户端。然后，恶意用户可以对应用程序进行反混淆，并可能执行未经授权的 API 调用，从而花费密钥所有者的信用。

如何解决这个问题？有没有办法处理这种情况？