问题标签 [websecurity]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
68 浏览

javascript - X 框架选项 拒绝替代

我添加了一个设置,即我的项目 URL 永远不会通过添加标题加载到 iframe 中

response.setHeader("X-Frame-Options", "deny");

这工作正常,但在 iframe 页面上,我只看到一张损坏的图片,上面写着拒绝与 URL 连接。如果我想通过这种请求显示一些特定的消息,或者 URL 将自动在单独的选项卡中打开,而不是在 iframe 中打开,是否有可能,因为我们不希望客户查看这种外观和感觉。

0 投票
0 回答
177 浏览

http - 单击链接或输入 URL 时 GET 与 POST?

为什么在单击网站中的链接或图像或请求 URL 时防止使用 POST 是一项安全功能,为什么在这些情况下我们总是使用 GET?

0 投票
1 回答
423 浏览

iis - 使用 IIS 8 托管应用程序:漏洞 (CVE-1999-0450) 使用随机文件名调用 http get 时泄露的应用程序根路径

我在 IIS 8 上运行 ASP.NET 应用程序。在安全漏洞 CVE-1999-0450 的行中,当我使用 .pl/.idq/random 文件扩展名进行 http get 时,整个应用程序根路径如下图所示. 通常,未映射/随机文件扩展名由静态文件处理程序处理。

在此处输入图像描述

我尝试了以下两个选项,但无法停止公开根路径。

  1. 对于静态文件处理程序 Mapping->Edit->Request Restriction->checked 仅当请求映射到文件时才调用处理程序。

  2. 删除了静态文件处理程序映射。在这种情况下,任何处理程序都不会处理请求,但仍会暴露根路径。

    我该如何避免呢?我正在考虑的一个选项是在 IIS-> 站点-> 错误设置中关闭远程用户的详细错误。还有其他修复此安全漏洞的建议吗?

0 投票
1 回答
122 浏览

amazon-web-services - 保护 Laravel/MySQL-API 服务器免受黑客攻击的最佳方法是什么?

我们在应用程序中工作的每个人。支持的是laravel 5.1,数据库是mysql。两者都在 csf 防火墙下,并受到公众保护。以下是技术栈:-

技术 :

1) Laravel 5.1 后端 托管:AWS/EC2

2) 数据库 mysql 5.5 托管:RDS

3) Fronend Wordpress大约有40 个使用后端 api 的站点。

当前实施的安全性:-

1) 后端的 CSF 防火墙。

2)RDS上的IP限制。

我们还能做些什么来确保它的安全。因为我们正在保存客户的个人信息和身份信息。

任何建议将不胜感激。

0 投票
6 回答
1820 浏览

spring - 如果有参数,SpringBoot websecurity 不会忽略 url

我试图忽略 SpringBoot 中 WebSecurity 的 url。能够为精确的网址匹配做到这一点。但是如果 url 本身有一个参数,它就不能忽略它。有没有更好的方法来忽略 url,比如忽略特定的控制器。如果没有,如何使用参数?

0 投票
0 回答
29 浏览

ssl - 如何使用通用代码修复 Http 公钥固定问题

我在 httpd conf 文件中添加了以下部分,以支持我的网站的公钥固定:

明天如果我更改我的证书,我必须在这里硬编码新的公钥,我如何使用通用代码片段来为各种域和各种环境进行 Http 公钥固定。

0 投票
1 回答
324 浏览

java - Spring Security - permitAll() 不允许未经身份验证的访问

我想只允许未经身份验证的访问几个路径:/everyone1/something1、/everyone2/something2 和 /everyone3/**。对于其余路径,我只希望允许经过身份验证的请求。

现在,我有“类 WebSecurityConfig 扩展 WebSecurityConfigurerAdapter”:

在“jwtAuthenticationFilter”中,我将身份验证设置为:

不幸的是,上述配置阻止了每个请求,包括经过身份验证和未经身份验证的请求。

任何帮助,将不胜感激。

谢谢!

0 投票
2 回答
5700 浏览

java - 在 Spring Boot 应用程序中配置 cors。Bean CorsConfigurationSource 不起作用

所以我不能配置cors。由于错误,我的 Angular 应用程序无法发送 api 请求。我可以通过soapUI 提出请求,它们工作正常。但从浏览器有:

从源“ http://localhost:4200 ”访问“ http://localhost:8080/backend/api/public ”处的 XMLHttpRequest已被 CORS 策略阻止:不存在“Access-Control-Allow-Origin”标头在请求的资源上。

我一直在寻找答案,它们看起来就像我的班级。

我正在使用 Spring Boot 网络安全。

这个 bean 应该添加这个 cors 头,但它没有。也许您知道这样做的更好主意吗?beetwen WebSecurityConfigurerAdapter 和 WebMvcConfigurerAdapter 有什么区别?

0 投票
0 回答
91 浏览

c# - 使用 google 登录 WebSecurity

我正在使用 net MVC 应用程序项目。我使用 WebSecurity(使用 WebMatrix.WebData)登录到我的 Web 应用程序。

如何使用网络安全使用外部登录,如谷歌登录、Facebook 登录?

0 投票
2 回答
9796 浏览

java - 创建名为“projectingArgumentResolverBeanPostProcessor”的 bean 时出错

我在我的项目中设置我的网络安全,但我看到一个错误。这是错误

org.springframework.beans.factory.BeanCreationException:在类路径资源[org/springframework/data/web/config/ProjectingArgumentResolverRegistrar.class]中定义的名称为“projectingArgumentResolverBeanPostProcessor”的bean创建错误:bean实例化之前的BeanPostProcessor失败;嵌套异常是 org.springframework.beans.factory.BeanCreationException:创建名为“metaDataSourceAdvisor”的 bean 时出错:设置构造函数参数时无法解析对 bean“methodSecurityMetadataSource”的引用;嵌套异常是 org.springframework.beans.factory.BeanCreationException:在类路径资源 [org/springframework/security/config/annotation/method/configuration/GlobalMethodSecurityConfiguration. class]: 通过工厂方法实例化 Bean 失败;嵌套异常是 org.springframework.beans.BeanInstantiationException:无法实例化 [org.springframework.security.access.method.MethodSecurityMetadataSource]:工厂方法“methodSecurityMetadataSource”抛出异常;嵌套异常是 java.lang.IllegalStateException: 在所有全局方法配置的组合中,在 org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:510) 处实际上没有激活注解支持 ~[spring-beans -5.1.5.RELEASE.jar:5.1.5.RELEASE] 在 org.springframework.beans.factory.support.AbstractBeanFactory.lambda$doGetBean$0(AbstractBeanFactory.java:320) ~[spring-beans-5.1.5.RELEASE .jar:5.1.5.RELEASE] 在 org.springframework.beans。

我的鳕鱼是:

用户安全类是:

当我删除“@EnableGlobalMethodSecurity”注释程序正确运行时,我之前使用过这个代码并且它工作正常。