问题标签 [websecurity]

我添加了一个设置，即我的项目 URL 永远不会通过添加标题加载到 iframe 中

response.setHeader("X-Frame-Options", "deny");

这工作正常，但在 iframe 页面上，我只看到一张损坏的图片，上面写着拒绝与 URL 连接。如果我想通过这种请求显示一些特定的消息，或者 URL 将自动在单独的选项卡中打开，而不是在 iframe 中打开，是否有可能，因为我们不希望客户查看这种外观和感觉。

为什么在单击网站中的链接或图像或请求 URL 时防止使用 POST 是一项安全功能，为什么在这些情况下我们总是使用 GET？

我在 IIS 8 上运行 ASP.NET 应用程序。在安全漏洞 CVE-1999-0450 的行中，当我使用 .pl/.idq/random 文件扩展名进行 http get 时，整个应用程序根路径如下图所示. 通常，未映射/随机文件扩展名由静态文件处理程序处理。

我尝试了以下两个选项，但无法停止公开根路径。

1. 对于静态文件处理程序 Mapping->Edit->Request Restriction->checked 仅当请求映射到文件时才调用处理程序。

2. 删除了静态文件处理程序映射。在这种情况下，任何处理程序都不会处理请求，但仍会暴露根路径。

   我该如何避免呢？我正在考虑的一个选项是在 IIS-> 站点-> 错误设置中关闭远程用户的详细错误。还有其他修复此安全漏洞的建议吗？

我们在应用程序中工作的每个人。支持的是laravel 5.1，数据库是mysql。两者都在 csf 防火墙下，并受到公众保护。以下是技术栈：-

技术 ：

1) Laravel 5.1 后端 托管：AWS/EC2

2) 数据库 mysql 5.5 托管：RDS

3) Fronend Wordpress大约有40 个使用后端 api 的站点。

当前实施的安全性：-

1) 后端的 CSF 防火墙。

2）RDS上的IP限制。

我们还能做些什么来确保它的安全。因为我们正在保存客户的个人信息和身份信息。

任何建议将不胜感激。

我试图忽略 SpringBoot 中 WebSecurity 的 url。能够为精确的网址匹配做到这一点。但是如果 url 本身有一个参数，它就不能忽略它。有没有更好的方法来忽略 url，比如忽略特定的控制器。如果没有，如何使用参数？

我在 httpd conf 文件中添加了以下部分，以支持我的网站的公钥固定：

明天如果我更改我的证书，我必须在这里硬编码新的公钥，我如何使用通用代码片段来为各种域和各种环境进行 Http 公钥固定。

我想只允许未经身份验证的访问几个路径：/everyone1/something1、/everyone2/something2 和 /everyone3/**。对于其余路径，我只希望允许经过身份验证的请求。

现在，我有“类 WebSecurityConfig 扩展 WebSecurityConfigurerAdapter”：

在“jwtAuthenticationFilter”中，我将身份验证设置为：

不幸的是，上述配置阻止了每个请求，包括经过身份验证和未经身份验证的请求。

任何帮助，将不胜感激。

谢谢！

所以我不能配置cors。由于错误，我的 Angular 应用程序无法发送 api 请求。我可以通过soapUI 提出请求，它们工作正常。但从浏览器有：

从源“ http://localhost:4200 ”访问“ http://localhost:8080/backend/api/public ”处的 XMLHttpRequest已被 CORS 策略阻止：不存在“Access-Control-Allow-Origin”标头在请求的资源上。

我一直在寻找答案，它们看起来就像我的班级。

我正在使用 Spring Boot 网络安全。

这个 bean 应该添加这个 cors 头，但它没有。也许您知道这样做的更好主意吗？beetwen WebSecurityConfigurerAdapter 和 WebMvcConfigurerAdapter 有什么区别？

我正在使用 net MVC 应用程序项目。我使用 WebSecurity（使用 WebMatrix.WebData）登录到我的 Web 应用程序。

如何使用网络安全使用外部登录，如谷歌登录、Facebook 登录？

我在我的项目中设置我的网络安全，但我看到一个错误。这是错误

org.springframework.beans.factory.BeanCreationException：在类路径资源[org/springframework/data/web/config/ProjectingArgumentResolverRegistrar.class]中定义的名称为“projectingArgumentResolverBeanPostProcessor”的bean创建错误：bean实例化之前的BeanPostProcessor失败；嵌套异常是 org.springframework.beans.factory.BeanCreationException：创建名为“metaDataSourceAdvisor”的 bean 时出错：设置构造函数参数时无法解析对 bean“methodSecurityMetadataSource”的引用；嵌套异常是 org.springframework.beans.factory.BeanCreationException：在类路径资源 [org/springframework/security/config/annotation/method/configuration/GlobalMethodSecurityConfiguration. class]: 通过工厂方法实例化 Bean 失败；嵌套异常是 org.springframework.beans.BeanInstantiationException：无法实例化 [org.springframework.security.access.method.MethodSecurityMetadataSource]：工厂方法“methodSecurityMetadataSource”抛出异常；嵌套异常是 java.lang.IllegalStateException: 在所有全局方法配置的组合中，在 org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:510) 处实际上没有激活注解支持 ~[spring-beans -5.1.5.RELEASE.jar:5.1.5.RELEASE] 在 org.springframework.beans.factory.support.AbstractBeanFactory.lambda$doGetBean$0(AbstractBeanFactory.java:320) ~[spring-beans-5.1.5.RELEASE .jar:5.1.5.RELEASE] 在 org.springframework.beans。

我的鳕鱼是：

用户安全类是：

当我删除“@EnableGlobalMethodSecurity”注释程序正确运行时，我之前使用过这个代码并且它工作正常。