回答情况:
提问时间:
问题标签:
在的angular文档中,我被引导到上了解JSON GET请求的漏洞。Django支持CSRF保护机制,但据我所知,没有办法对GET请求执行它。我想我更喜欢这种机制,而不是Angular建议的机制(在每个JSON响应之前加上)]}', ),但这可能吗?
浏览 0提问于2014-04-19得票数 1
我有一个应用程序,它在每个服务调用的响应中获得一个身份验证令牌,它应该将前一个令牌作为参数发送给下一个调用,否则用户将是未经授权的。一旦令牌不匹配,所有其他调用都会失败。为了确保令牌不会不匹配,我在屏幕上添加了加载器,并在启动ajax调用时立即显示它们,并保持加载覆盖在屏幕上,直到没有收到响应,否则用户可能会单击任何其他链接,从而导致另一个ajax调用。但是,我仍然认为加载器机制容易出现漏洞。有没有办法检查是否有任何ajax调用正在进行,然后对新的调用进行排队,排队的调用将等待发起的one响应,因为它需要
浏览 0提问于2016-05-13得票数 1
我计划使用JWT令牌作为主要的身份验证机制。当令牌过期时,服务器将返回"401未经授权“响应,我希望客户端能够执行无声刷新。这通常是使用刷新令牌完成的。在这个过程中是否有我遗漏的安全漏洞?
浏览 0提问于2020-04-15得票数 2
我问这个问题的原因是,上面的片段(修改为读取请求HTTP头而不是响应headers)将是一个外部JavaScript文件,将通过XSS漏洞成功调用。由于缺乏CORS策略,此处允许使用外部JS文件。我已经在一个本地主机演示中创建了一个功能利用--我在其中创建了一个用于读取响应头的功能,但我需要某种形式的功能,以便JavaScript能够读取。在这种情况下,这是可能的吗?CSRF机制并成功地执行CSRF。我已经为此编写了一个漏洞,但它与header中的HTTP值有关,但是这显然不起作用,因为XSRF-TOKE
浏览 0提问于2021-03-01得票数 1
回答已采纳
我的后端同时支持HTTP和HTTPS的画布响应,但似乎在默认情况下,Facebook将用户放在HTTP上,并通过HTTP直接以纯文本形式发送所有重要的凭证(例如,signed_request有效负载中的访问令牌等当然,这是共享网络(咖啡店、办公室等)上的一个安全漏洞,在这些地方,嗅探访问令牌是微不足道的。
如何强制所有canvas请求通过HTTPS操作,并保护我的用户凭据?OAuth1.0提供了通过HTTP使用访问令牌的机制(因为请求必须由客户端应用程序签名),但HTTPS2.0取消了所有这些机制,转而支持对任何具有嵌入凭
浏览 0提问于2011-10-13得票数 3
Mallory注意到Bob的网站包含一个反射的XSS漏洞。
Mallory设计了一个URL来利用该漏洞,并向Alice发送了一封电子邮件,诱使她以虚假的借口点击URL的链接。嵌入在URL中的恶意脚本在Alice的浏览器中执行,就好像它直接来自Bob的服务器(这是实际的XSS漏洞)。该脚本可用于将Alice的会话cookie发送给Mallory。现在,当网站碰巧是一个页面驱动的应用程序时,这通常是一个很好的例子--该漏洞是通过让用户向应用程序提交恶意有效负载(更重要的是,登录时发出GET请求)来利用的,该漏洞</
浏览 0修改于2010-08-20得票数 9
回答已采纳
3回答
我确实找到了本报告,它断言缓存登录页面是一个漏洞,理由是“不建议允许web浏览器保存任何登录信息,因为当存在漏洞时,该信息可能会受到破坏”--但是,在发送到浏览器之前,登录页面肯定是我们不想预先填充的一种形式OTOH在使用基于挑战/响应的机制时会出现问题,其中的挑战是在登录页面中发布的--但是这样它就不能工作,而不会损害安全性。
浏览 0提问于2014-01-28得票数 5
回答已采纳
但是,我不想添加这个新的url,并且希望我的注册电话发送一个令牌作为响应。如何使用此身份验证机制限制我的用户只查看/更新/删除其用户?
一般情况下,我如何使用此身份验证机制来执行任何操作。例如,如果用户想将他的名字写到/tmp/a d.txt。这种方法是否有任何潜在的漏洞。如果我的应用程序要存储大量机密数据,我应该使用相同的代码吗?
浏览 6修改于2016-02-07得票数 14
回答已采纳
我计划实现一种使用基本身份验证的身份验证机制,其中JavaScript客户端将在会话期间存储Basic 64编码的用户凭据。这些凭据将与每个REST请求一起在“授权:基本”头中发送。我知道这本身就是一个性能缺陷,因为它增加了加密/解密每个请求/响应的开销,现在还可以。我唯一能想到的是,如果客户端的恶意代码能够以某种方式访问存储的凭据…的话。
浏览 3提问于2015-03-17得票数 4
回答已采纳
谷歌在其ServerManagedPolicy中提供的默认依赖于服务器响应来确定许可重新验证间隔。这导致每隔几天就需要重新确认一次,而且是永久的。在对的回答中,建议的策略算法是忽略来自谷歌服务器的响应中提供的时间,而是使用许可有效期约一个月,每隔几天就尝试进行许可检查(如果收到许可响应,则延长有效期)。在宽限期结束后,在允许应用程序正常运行之前,要坚持第二次获得许可的响应。
在接收到第二个许可响应后,永久启用应用程序的所有功能,并且再也不用检查了。坚持第二个许可响应的目的是绕过购买-
浏览 3修改于2019-03-29得票数 15
回答已采纳
2回答
){ } } XSS:用户输入(用户)在没有经过编码库或验证器的情况下被推入响应的jsp页面,这意味着您是属于自己的。
Fix:我将实现从OWASP编码器项目到HTML元素的清除器。
浏览 0修改于2020-06-16得票数 5
2回答
我的理解如下: JWT身份验证机制最简单的形式应该是:因此,在刷新令牌进入的地方,服务器同时发出刷新令牌和访问令牌(具有长/无限过期的刷新令牌和短访问令牌)。这还需要在前端添加某种倒计时机制,在访问令牌到期日期之前将刷新请求发送到服务器,这样用户就不会被注销。为什么?
浏览 6提问于2021-06-27得票数 0
5回答
我试图进入我设置的一个特定的测试帐户(如果结果返回多个帐户,抛出错误,所以我不希望选择1=1工作的每个用户名),但是每次我得到一个响应,就好像输入了一个正常的、不正确的密码一样。对于整个web安全来说,我都是新手,并且对web开发很感兴趣,我想知道这种SQL注入预防方法是否存在漏洞,因为我希望还没有想清楚。澄清一下,这并不意味着“我发现了一些新东西”,因为在信息安全方面有很多比我自己更亮的火花,他们可能已经弄清楚了,但我想知道为什么这个可能不适合作为安全机制。
浏览 0修改于2016-12-20得票数 22
回答已采纳
我根本没有安装响应,因为它似乎是在安装NodeJS之后默认出现的。现在出现了丑陋的东西。我也会发现一些审计错误/漏洞,但是它们可能并不重要,因为它们在我使用“审核修复-强制”之后就被修复了。 code: 'MODULE_NOT_FOUND',}
如果有人能帮我从国家预防机制中删除这些警告
浏览 14提问于2022-06-10得票数 0
我目前正在测试一个web应用程序,该应用程序似乎存在一个开放的重定向漏洞,因为它们通过GET接收参数redirect_url。应用程序稍后将用户重定向到此URL。然而,他们做一些固定的URL,他们接受,并响应与400的任何其他网址。
应用程序所期望的URL如下所示:https://subdomain.example.com/foo/bar。问:我的问题是,如果有其他方法绕过URL匹配机制,我还没有想到。
浏览 0修改于2017-09-14得票数 0
回答已采纳
在我正在工作的嵌入式设备上,网页的Javascript向本地PHP文件发送请求,然后使用响应动态更新DOM元素。一切都很好: AJAX很酷。但令人恼火的是,所有的响应都是gzip编码的,尽管我希望它们不是这样的(目标设备的处理器没有太多的处理带宽)。问题是我不知道如何禁用gzip压缩响应。可能是一个已经被填补的FF安全漏洞?请注意,setRequestHeader()机制显然工作正常,因为添加...
xmlhttp.setRequestHeader("X-FavouriteFruit"
浏览 2提问于2013-03-13得票数 1
提供不需要更改密码的客户端和服务器端注销机制(因此HTTP退出,因为客户端通常缓存他们的凭据)。如果设置了标头“调用方是API”,则该服务的响应将与标准ASP.NET窗体身份验证不同,它将:
401而不是302在缺乏认证的请求中。这项建议的实施是否有明显的漏洞?我主要担心的是一个我看不到的安全风险,但我同样担心这样的实现可能会使它的工作过于局限或笨拙。
浏览 0提问于2012-11-19得票数 3
3回答
我想建立一个简单的系统,其中是否有明显的安全漏洞?这种哈希机制在没有任何其他加密层的情况下会相当安全吗?(如果有效的话)服务器以代码的sha1哈希+硬编码盐(模块所知,但黑客所不知道)进行响应。(只使用散列的原因是黑客不可能将允许/拒绝消息直接发送到模块。
浏览 0修改于2016-01-22得票数 -3
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号