问题标签 [websecurity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
html - 使用第三方 CSS 是否危险?
我找到了一些 MIT 许可的 CSS,我想将其用于我的 Web 应用程序。我一直在阅读可以将恶意 CSS 注入网站(来源:Can Malicious Code Be Executed From A CSS File?)以发起跨站点脚本类型的攻击。
这是我的问题:我想知道恶意 css 是否有可能用恶意软件感染我的网络服务器,如果是这样,我应该注意的那种 css 中的恶意迹象是什么?
html - 如何托管私人 html 网页?
我想托管一个只有预期收件人才能看到的私有网页,并且对其他人不可见,并且不会被所有搜索引擎索引并显示为公共搜索结果。
我有自己的域名并有付费的高级托管计划。
网页只包含 index.html,一个 css 和 js 文件,仅此而已。
那么,如果其他人尝试打开它将被拒绝访问或出现某些错误,我该如何将其设为私有。我分享网址的唯一人可以访问它吗?
javascript - 如何避免登录用户通过控制台使用 ajax?
我使用这个 ajax 函数将电子商务网站中的产品插入到数据库中。
我看到这种方法很不安全,一些有编程知识的有经验的用户可以使用这个 ajax 和插入产品,或者其他的东西。
我在其他帖子中读到了建议使用带有令牌的隐藏输入字段的解决方案,但正如我所说,一些具有编程知识的有经验的用户会找到它。
是否有一些真正的方法可以使这个“添加产品”功能安全而不在每个插入中刷新页面?
c# - WebMatrix.WebData 使用什么安全性
我在一家公司工作了大约 8 年,该公司一直在使用相同的包来确保我们的登录安全性。他们目前正在使用 WebMatrix.WebData.WebSecurity
当用户登录时,代码如下所示
我主要担心的是我们已经使用它 8 年了,我无法找到关于这个插件的太多信息。我主要是想尝试找出它使用什么加密,以及加密在今天是否仍然可靠。
我尝试查看文档 docs.microsoft 但仍然没有运气
https://docs.microsoft.com/en-us/dotnet/api/webmatrix.webdata.websecurity?view=aspnet-webpages-3.2
关于我们是否应该考虑替换它或找出它使用什么加密的任何帮助/建议都会很棒。
javascript - 避免拦截 XMLHTTPRequest
有没有办法防止从 3rd 方库和软件中截取 XMLHTTPRequests?这是一个非常强大但也很危险的功能,因为这样每个 npm 依赖项都可以拦截流量并窃取访问令牌。
我们即将实施 owasp 推荐并引入指纹 http only cookie。我们还将访问令牌移动到内存中。在发现使用以下代码片段拦截每个 XMLHTTPRequest 是多么容易之后:
对于我们在 npm 中的所有外部依赖项,这不是一个巨大的安全风险吗?有没有办法保护它并禁止拦截器并确保 XMLHttpRequest 的原型没有被操纵?
spring - 如何从上下文中获取bean?
我有两个服务 A 和 B,A 在它的 pom 文件中有来自 B 的依赖。
在服务 BI 中创建一个名为 的类的 bean ClassB,而在服务 AI 中有一个名为的类,它在构造函数中接收来自其他服务ClassA的实例作为参数。ClassB
即使我在运行这两个服务时在来自其他服务的导入部分中指定,我也会收到错误:
创建文件 [something/ClassA.class] 中定义的名称为“classA”的 bean 时出错:通过构造函数参数 0 表示的不满足的依赖关系;嵌套异常是 org.springframework.beans.factory.NoSuchBeanDefinitionException:没有可用的“something.something.something.something.something.ClassB”类型的合格 bean:预计至少有 1 个符合自动装配候选资格的 bean。依赖注释:{}
我不知道如何指定使用其他服务的 bean 自动装配类。
谢谢您的帮助!
security - 验证防伪令牌的最佳方法?
我应该在请求中的何处放置防伪令牌?(根据最新标准)
- 标题
- 形成主体
angular - 访问令牌安全
我有 Angular 应用程序,它正在从身份服务器获取访问令牌。我需要帮助来了解我可以采取哪些与安全相关的措施。我正在使用的 javascript 库似乎只支持客户端的本地存储和会话存储。
我需要至少在以下区域实施一些安全措施。
1- 在客户端存储访问令牌(角度 SPA)。2-发送访问令牌以访问标头中的 API。
目前,我认为它有很多安全漏洞。
问候, 索拉布
javascript - 如何隐藏我的 Django 应用程序中使用的 js 库
我一直在研究网络安全,发现可以检测到您网站上使用的 js 库,并允许黑客使用该信息进行特定攻击。使用渗透测试工具时,我找不到任何方法在我的 Django 应用程序中隐藏该信息
oauth-2.0 - 如何在 OIDC/OAuth2 流程中识别“资源服务器”上的“客户端应用程序”
我有多个客户端应用程序连接到微服务设置中的多个不同 API 服务。我使用 OIDC 进行用户身份验证,然后使用 OAuth2 访问令牌为客户端应用程序授权 API 服务(资源服务器)。
如果许多不同的应用程序具有所需范围的访问令牌,则它们可以调用相同的 API。Tha API 服务器仅检查访问令牌中是否存在声明以允许调用。
我们的一项 API 服务(例如,订票应用程序)需要知道调用者是谁,以进行一些特定于应用程序的验证,并为发票等进行一些日志记录。
我们如何仅从 Access Token 知道调用者是谁JWT?虽然 OIDC 提到azp作为一种方法来判断授权方是谁 为Identity Token,但没有为Access Token. 有人有什么想法吗?