- 综合排序
- 最热优先
- 最新优先
- 来自专栏漫流砂
内容劫持 | Electron 安全
对大家了解 Electron 开发的应用程序安全有帮助,与每个人切实相关 但是那篇文章内容太多,导致很多内容粒度比较粗,可能会给大家造成误解,因此我们打算再写一些文章,一来是将细节补充清楚,二来是再次来呼吁大家注意 很多使用 Electron 开发的程序关闭了所有的安全措施,但是仍旧没有被攻击,因为很多攻击的前提是存在 XSS ,有了 XSS 就如鱼得水,因此很多问题就被掩盖了 今天提到的内容劫持,就是非XSS ,每一个都是潜在的攻击点 使用 HTTPS 相对安全,毕竟 HTTPS 也是为此而生。 使用 HTTPS 必须使用有效证书,不然和 HTTP 没有太大区别 看起来使用 HTTPS 远程加载资源是完全安全的,但实则也不是,这里也不光是 loadURL 这种方式远程加载内容的问题,本地加载,如果被加载内容远程加载了 ,密码表之类的,但是以发起一场大规模攻击的攻击者来说也就不一样了,因此需要关注证书安全 被加载内容存在XSS 这就是硬性内容了,属于强硬的攻防对抗,没什么瘦的 很多网站都使用了 cdn ,对于 https
89910编辑于 2024-04-22 - 来自专栏腾讯云安全专家服务
业务安全(1)-天御内容安全
目前天御内容安全主要有下面四种场景: 图片内容安全 文本内容安全 音频内容安全 视频内容安全 图片内容安全(Image Moderation System,IMS)能精准识别涉黄、涉恐、涉政等有害内容, image.png 图片内容安全特性 image.png 文本内容安全特性 image.png 音频内容安全特性 image.png 三、文本内容安全现状 不良不雅评论,违规违法交易严重影响主营业务的健康发展 : ( 内容仅针对文本和图片 ) 用户在腾讯云官网-控制台(内容安全链接),图片内容安全/文本内容安全界面内即可免费领取试用包、购买正式包。 八、服务保证指标SLA 8.1 内容安全服务承诺99.9%的业务可用性。 (1)业务可用性 = 图片内容安全服务周期内业务可用时间 / 图片内容安全服务周期内服务总时间。 (2)失败请求: 因图片内容安全系统故障导致正常的请求未到达图片内容安全服务端的请求。 (3)有效的总请求:图片内容安全服务端接收到的所有请求视为有效的总请求。
6.2K130发布于 2020-11-03 - 来自专栏黑伞安全
内容安全策略( CSP )
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 数据包嗅探攻击 除限制可以加载内容的域,服务器还可指明哪种协议允许使用;比如 (从理想化的安全角度来说),服务器可指定所有内容必须通过HTTPS加载。 使用 CSP 配置内容安全策略涉及到添加 Content-Security-Policy HTTP头部到一个页面,并配置相应的值,以控制用户代理(浏览器等)可以为该页面获取哪些资源。 一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击。本文阐述如何恰当的构造这样的头部,并提供了一些例子。 示例:常见用例 这一部分提供了一些常用的安全策略方案示例。
4K31发布于 2020-08-10 - 来自专栏Seebug漏洞平台
绕过混合内容警告 - 在安全的页面加载不安全的内容
) 毋庸置疑,当今网络正在向 HTTPS(安全)内容发展。 混合内容警告 攻击者最近有个问题,因为他们的技巧只在不安全的页面有效,而浏览器默认情况下不从安全网站呈现不安全的内容。 考虑一点: IE/Edge (和其他浏览器) 拒绝从安全的域(HTTPS)加载不安全的内容 (HTTP) . 现代浏览器默认情况下不会渲染混合内容(来自安全站点的不安全数据)。 当不安全的 bing.com 试图渲染另一个不安全的 iframe 内部内容时,问题发生了。换句话说,iframe 的子元素也需要是安全的或者绕过这点,相同的技巧也需要重定向。 document.write ,iframe 就可以自由加载不安全的内容了,而且无需重定向。
4.2K70发布于 2018-03-29 - 来自专栏腾讯安全
云上造物,内容更安全
与此同时,互联网内容井喷式增长,数据种类多样化,需求场景复杂化。“云上造物”面临着前所未有的内容安全挑战,色情、暴力等违法违规内容不仅影响应用健康,更影响业务发展。如何更好地应对内容安全挑战? 腾讯安全天御内容风控有答案。在最近的版本更新中,腾讯安全天御内容风控打通多个云上组件,为开发者打造一站式、智能化的云上内容风控解决方案,在保障业务安全合规的同时,为用户提供创新优质体验。 升级后的天御内容风控平台更具智能化、精准化、灵活度。 开发者在构建对象存储(COS)、云直播(CSS)、实时音视频(TRTC)、游戏多媒体引擎(GME)、云点播(VOD)时,一键即可启用内容安全能力,为云上内容保驾护航。点击下图了解更多详情
1.1K20编辑于 2022-11-30 - 来自专栏信安之路
绕过内容安全策略总结
它是一种由开发者定义的安全性政策性申明,通过 CSP 指定可信的内容来源,让 WEB 处于一个安全的运行环境中。 内容源有如下选项: ? 内容源有三种:源列表、关键字和数据,其中 *,*.foo.com,abc.foo.com,https://a.com,https: 属于源列表。' : Content-Security-Policy: default-src 'self'; img-src 'self' data:; media-src mediastream: 图片源可以为同源内容或者是 data: 引用的资源,媒体源必须使用 mediastream: 引用,除此以外的都执行默认内容源判断,必须为同源内容。 c=[cookie]"> 在Firefox下无法用prefetch,因为Firefox有更高的安全规范,但是我们可以使用其他的方式,比如dns-prefetch,将cookie作为子域名,用dns预解析的方式把
2.5K10发布于 2018-08-08 - 来自专栏Khan安全团队
WordPress 安全复制内容保护和内容锁定 2.8.1 SQL 注入
# 软件链接:https://downloads.wordpress.org/plugin/secure-copy-content-protection.2.8.1.zip
1K40编辑于 2022-03-03 - 来自专栏科技云报道
内容安全沙龙在京召开:严守红线,共筑安全
本次会议上,中国信息通信研究院云大所云安全专家王敬宇对该标准进行了解读,该标准规定了内容安全解决方案的功能要求、性能要求、自身安全功能要求,云计算服务提供商和安全厂商的内容安全解决方案,其在功能设计、产品研制 探讨内容安全实践路径 共建网络“净土” 此次会议上,中国信息通信研究院及内容安全解决方案专家代表,围绕网络内容安全、不良信息治理技术,共建绿色健康的互联网环境等内容展开了分享和讨论。 腾讯云安全策略专家周耀辉分享了内容安全策略的最佳实践,基于四大场景的六类违规内容识别,通过智能AI+人工审核一站式解决目前网络中违规内容的问题。 同盾科技内容安全产品负责人李金桦分享了智能内容安全保护在直播场景下的应用,他认为内容防控是一个长期攻防对抗的业务过程,面对未来的内容安全市场,利用前沿的AI科技并对业务场景适配和精调,从技术上保证识别的效果 ,积极配合监管部门开展相关安全审查工作,建立信息安全重大保障期间的内容安全应急互动机制。
81910编辑于 2022-04-14 - 来自专栏跟Qt君学编程
安全地写内容到文件
❞ 基本原理 「写入内容将被写入到一个临时文件,如果没有错误发生,则commit()会将其移至最终文件」。 ; /* 保存到实际文件(example.txt), 如不调用则example.txt不写入内容。
1.5K30发布于 2020-03-19 - 来自专栏罗超频道
李宁需要首席内容安全官
近年来类似的舆情事件日益增加,李宁们的危机也给众多品牌(不限于服装品牌)提了一个醒:务必将“内容安全体系”的建设提上日程,尽快设立与品牌副总裁同级的“首席内容安全官”,以类似于内审一样的第三方的身份对公司相关内容输出进行系统性的安全规划 内容安全官的部门要负责管控的内容,包括品牌VI、日常文案、产品包装、营销话术、产品设计语言、短视频内容等等,也包括高管在朋友圈等场所的公开发言。 此前,像字节跳动、百度这样的内容型平台对内容安全的把控已经做得相当规范、专业和成熟了。 在内容驱动的移动互联网时代,每家公司都将重视内容营销,一切品牌都将成为内容“厂牌”,企业内容输出日益增多,每个网友都有机会发现品牌的内容“漏洞”,针对此,品牌唯有积极预防,像信息安全一样以专业体系去发现内容的 这会催生品牌内容安全审核这样的新职业吗? END
58820编辑于 2022-12-14 - 来自专栏AI SPPECH
93_安全提示:过滤有害内容
生成概率监控:分析生成特定内容的概率变化 中间状态检测:检查生成过程中的中间状态 上下文安全检查 确保生成内容符合上下文的安全要求: 一致性检查:检查生成内容与上下文的一致性 相关性分析:分析生成内容与用户请求的相关性 不当内容标记:为不当内容添加适当标记 置信度评估 评估内容安全判定的置信度: 概率计算:计算内容被判定为安全/有害的概率 不确定性量化:量化判定结果的不确定性 可信度分级:根据置信度对判定结果进行分级 用户参与策略 鼓励用户参与内容安全管理,提高整体安全性: 举报机制:建立便捷的有害内容举报渠道 反馈激励:对有价值的安全反馈进行激励 安全教育:开展用户安全意识教育 透明沟通:与用户保持透明沟通 常见误区与规避策略 考虑到金融行业的高安全性要求,企业实施了全面的内容安全防护措施。 伦理与社会影响 深入研究LLM内容安全的伦理和社会影响: 伦理准则:制定内容安全的伦理准则 社会影响评估:评估安全措施的社会影响 价值平衡:平衡安全与表达自由等价值 包容性设计:确保安全措施的包容性和公平性
35010编辑于 2025-11-16 - 来自专栏sonarqube
Fortify软件安全内容 2023 更新 1
如今,Fortify 软件安全内容支持 30 种语言的 1,399 个漏洞类别,涵盖超过 100 万个单独的 API。 总之,此版本包括以下内容:GoLang 更新(支持的版本:1.17)更新了对 Go 标准库的支持,以支持最高版本 1.17。 客户还可以期望看到与以下内容相关的报告结果的变化:密码管理:弱密码策略[6]此版本包括对密码熵检查的细微改进,其中密码/用户名字段改进了对自定义用户名和密码字段的检测。 Fortify优质内容研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。 4.0 和 PCI SSF 1.2,可从 Fortify 客户支持门户的“高级内容”下下载。
11.4K30编辑于 2023-04-17 - 来自专栏Nicky's blog
Spring Security配置内容安全策略
Spring Security配置内容安全策略 1、什么是内容安全策略? 内容安全策略:Content Security Policy,简称CSP,内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击 的header public void setResponseHeader(HttpServletRequest request,HttpServletResponse response) { //内容安全策略 StaticHeadersWriter("Report-To", REPORT_TO)) // 设置xss防护 .xssProtection() // 设置CSP内容安全策略 report-uri /report; report-to csp-violation-report");,然后登录页面,发现页面被一个外部链接的接口窃取了一些登录用户信息,这样是很危险的 所以,需要在配置类加上内容安全策略的设置
2.1K20编辑于 2022-05-13 - 来自专栏漫途科技
大坝安全监测的内容及作用
大坝安全监测是指对大坝水雨情沉降、倾斜、渗压以及大坝形状特征有效地进行监测,及时发现潜在的安全隐患和异常情况,以便大坝管理人员能够做出科学决策,以确保大坝安全稳定运行。 大坝安全监测的主要内容1.表面位移监测:监测大坝边坡整体表面位置的变化及其变化速率(包括平面位移和垂直沉降),确定边坡整体位移变形的情况,是确定边坡稳定性重要指标之一。 大坝安全监测的作用1. 提高水库大坝管理效率:水库大坝安全监测能够对水库的整体情况进行数字化展示,漫途大坝安全监测模块,通过内部采购,选型,集成,调试。将系统集成商所需的功能,在出厂前进行调试完毕,打包发出。 帮助中小型水库大坝快速实现信息化、智能化对历史数据做到无纸化,为水库的防洪、调度等工作提供科学依据,为国家经济发展和人民生活提供更加安全可靠的水资源保障。
90710编辑于 2023-11-28 - 来自专栏全栈程序员必看
SQL Server2000安全设置内容
SQL Server2000安全设置内容 一、打最新补丁SP4(2039); 二、使用Ipsec限制SQL2000访问IP; 三、删除下列存储过程和文件: 编号 存储过程名 存储过程类型 对应文件名 角色和新添加的角色; 补充中……….. – 作者: archerfoot 2005年09月19日, 星期一 17:06 回复(0) | 引用(0) 加入博采 SQL Server2000安全设置内容
97640发布于 2021-04-28 - 来自专栏sonarqube
Fortify软件安全内容 2023 更新 2
如今,Fortify 软件安全内容支持 31+ 种语言的 1,552 个漏洞类别,涵盖超过 100 万个单独的 API。 客户还可以期望看到与以下内容相关的报告问题的变化:弃用“访问控制”类别此版本中删除了 Salesforce Apex 的访问控制类别。 客户还可以期望看到与以下内容相关的报告结果的变化:命令注入:已添加由 ID 11722 和 11723 标识的检查,以使用支持带外应用程序安全测试 (OAST) 功能的有效负载[3].它们减少了误报,提高了 Fortify优质内容研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。 OWASP MASVS v2.0.0为了配合新的相关性,此版本还包含支持 OWASP MASVS v2.0.0 的 Fortify 软件安全中心的新报告包,可从 Fortify 客户支持门户的“高级内容
31900编辑于 2025-08-01 - 来自专栏用户8739990的专栏
安全管理的主要内容 安全管理有什么好处
那么这时候就需要对电脑进行安全管理,来保证自己的生活和工作不被影响。那么主要内容是什么呢? image.png 一、安全管理的主要内容 安全管理不仅包括下载的软件,还包括硬件上的,电脑想要一直安全放心的使用,就必不可缺少进行安全管理。对于企业的电脑来说,安全管理可以保护企业的内部信息。 完善电脑的安全防护系统,让电脑的使用环境更加安全,对电脑软件进行有效的网络管理,能够很快的处理把信息收集起来,精确而快速的解决出现的安全问题。 抓住安全管理的主要内容,正确的对待这个问题,提高网络和系统的安全性,让电脑使用起来具有很好的体验。 安全管理对于电脑来说是一件非常重要的事情,正确的进行安全管理,打造一个健康、和谐的网络环境。 理解清楚安全管理的主要内容跟相关的信息,选对安全管理,对于用电脑的人来说是非常重要的,可以详细的了解一下。
3K20发布于 2021-07-09 - 来自专栏安智客
《移动终端安全环境安全评估内容和方法》关键点
不管是GP TEE安全认证,还是泰尔实验室安全认证,还是CC认证,都是按照CC标准规范的评估方法和原则来进行的。 比如泰尔终端实验室制定了一些规范: 《移动终端安全环境安全评估内容和方法》该文档作为总体性文档。 》 《YDT 2844.4-2015 移动终端可信环境技术要求 第4部分:操作系统的安全保护》 《YDT 2844.5-2016 移动终端可信环境技术要求 第5部分:与输入输出设备的安全交互》 安全性测试分为脆弱性分析和渗透性测试 该规范将安全级别定义为4个安全级别。 另外该文档对安全功能进行了细化,对于我们产品安全设计具有很好的参考意义: ? 基本上上述安全目标也就是TEE可信执行环境操作系统的特征。 规范最后提出了一些文档要求,这些文档有些事设计文档,有些事安全测试的标准文档,这些文档不管是哪一个安全测试标准、机构都会有比较具体的要求,对于产品的安全性设计来说,这些文档也是必要的。 ?
2.5K100发布于 2018-02-24 - 来自专栏零域Blog
CSP(Content Security Policy 内容安全策略)
CSP主要用来定义页面可以加载哪些资源(JS/CSS/FONT/IFRAME/XHR/…),可以有效起到很多安全作用! 限制指定域的JS代码才能运行,避免运营商插入代码) 防止XSS攻击(很多XSS攻击会去引用其他站点恶意代码在本站执行) 防止点击劫持 防止Android WebView UXSS(禁止iFrame嵌套其他站点内容等 sandbox allow-forms 定义请求资源使用sandbox report-uri /report-uri 定义的策略如果不允许时,将POST一个请求到该地址 指令值 值 说明 * 允许任何内容 ‘none’ 不允许任何内容 ‘self’ 运行同源内容 data 运行data:协议(Base64图片) www.wufeifei.com 允许加载指定域 144.144.144.144 允许加载指定 服务端接收: $data = file_get_contents("php://input"); error_log($data); 总结 CSP不支持所有浏览器是硬伤,不过开发工作量低,加上也能改善一部分安全
2.8K40编辑于 2022-03-16 - 来自专栏音视频技术
视频内容安全保护技术分析与实现
近年来,视频已逐渐成为互联网内容的主流,如何保障视频内容的安全,防止非法盗版,传播成为众多企业关注的重点。 如果某一平台花重金购入一项视频内容版权或自主生产一颇具价值的视频内容后发现有非法组织对其进行盗链,面临的问题就是经由平台访问此视频内容的流量仅占全网此内容总访问流量的很少一部分,也许经由侵权方访问资源的流量高达上百 直播内容保护技术 首先我们需要了解直播内容保护技术中不可或缺的封装方案与传输协议。 也可通过模拟对应项目的Referer与Token盗取内容。 经过HLS与DASH保护的内容同样可被盗取。当盗链者盗取对应m3u8内容中的Key信息之后会首先获取内容链接,然后使用Key解锁对应内容。 未来展望 我们目前接触到的FLV或RTMP都是标准的TCP传输,而在未来私有Codec实现的非标准封装可有效保证内容的安全;除了封装标准,传输协议也可以实现自定义从而进一步强化防盗链的稳固,例如现在斗鱼便使用了自主传输协议
1.8K10发布于 2021-09-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号