security

    0热度

    3回答

    可以攻击者注入SQL或JavaScript到Java POJO?

    我有一个表格,用户可以注册到我的网站 的数据被存储在用户POJO class User{ private String userName; private boolean enabled; private Date registrationDate; ... } ,然后坚持用 org.hibernate.Session.persist(User) 数据库是有办法的攻击者可以在us
    java hibernate security xss sql-injection 2017-10-19

    3热度

    1回答

    在反应应用程序中使用API​​密钥

    我有一个使用两个第三方服务的React应用程序。该应用程序开始使用react-create-app。 这两个服务都需要一个API密钥。 一个密钥通过脚本标签供给,这样的: <script type="text/javascript" src="https://myapi?key=MY_KEY"> </script> 另一API密钥在一个请求中使用。我将实际的密钥存储在一个常量中,并用它来形成
    reactjs security design frontend api-key 2017-10-19

    1热度

    1回答

    签署API从前端调用后端

    我在执行针对前端与使用密钥后端通信的安全方式。后端是敏感业务 首先,我想智威汤逊,但基于令牌的方法有两个缺点(手机银行): 一)前端必须获得令牌,这意味着它必须向后端发送一些认证数据 - 如果前端可以做到这一点,任何人都可以做到这一点。 二)即使获得令牌的一些安全的方式,任何人都可以启动Chrome浏览器开发工具,并使用它,而它没有过期。 所以另一种方法是从签署前端用密钥每个请求。关键是众所周知的
    javascript django security jwt 2017-10-20

    0热度

    1回答

    如何使用敏感数据运行cron作业?

    我读了Where can I set environment variables that crontab will use?关于如何为由cron运行的脚本设置ENV变量。 最明显和工作方法是把变量上的crontab计划文件的顶部是这样的: MYVAR=something * * * * * /somescript.sh 这似乎是罚款,直到我希望我的脚本使用像登录/密码的敏感值登录到,例如一
    security cron 2017-10-20

    0热度

    2回答

    Django的 - CSRF验证失败 - 从形式发送数据的静态网站,我的Django应用程序

    我的设置: 静态网站的登陆页面通过AWS S3 (welcome.mydomain.com)提供服务。 一个django应用程序(Django的1.8与python 2.7) 可通过子域(app.mydomain.com)访问。 我想添加一个联系表单,这是我的静态网站的一部分,它将联系表单信息发送到我的django服务器进行处理。 我不想将联系表单作为模板添加到我的django应用中,因为我使用不
    django security amazon-s3 django-forms django-csrf 2017-10-20

    1热度

    1回答

    保守的外键在雄辩的模型上的优点

    我有一个表,称为用户。该表在名为projects的另一个表中有一个名为project_id的外键。我的页面上的用户将看到一个包含所有项目的下拉列表,并且可以选择其中的一个。然后,我将使用所选项目的主键作为新创建用户的外键。 现在在laravel的雄辩模型中,我已经读到为了安全起见外键总是应该被守护(不能是大规模赋值的)。我不明白这是为什么。假设我验证了project_id存在于项目表中,我不应该确
    php laravel security laravel-5 eloquent 2017-10-20

    -1热度

    1回答

    网站上的电子邮件地址和(未受保护的)联系表单是安全/ spamer风险吗?

    我找不到这个问题的明确答案。我正在为以下两个主题寻找一些最新的最佳实践建议: 在我的网站上显示电子邮件地址(也通过mailto :)链接)。 在我的网站上有一个“不受保护的”联系表格(没有captcha 等)。 这是通过aws S3服务的静态网站。 我害怕被垃圾邮件发送者击中。 我怎样才能以优雅的方式避免这种情况(理想情况下,用户不会注意到)?
    security captcha spam-prevention email-spam 2017-10-20

    1热度

    1回答

    更改后访问基于禁止的用户角色

    在我的网站中,我想给一些用户更改角色的能力,请点击按钮。我用以下方式实现它: $post = Request::createFromGlobals(); if($post->request->has('change') && $user->hasRole('ROLE_MEDIA') == False){ $em = $this->getDoctrine()->getManager()
    php symfony security controller restriction 2017-10-20

    2热度

    1回答

    禁用@EnableGlobalMethodSecurity进行测试

    我阅读之前有关禁用@EnableGlobalMethodSecurity解决方案的文章,但它对我无效。基本上,我需要在启动时启用/禁用我的@PreAuthorize批注以用于测试目的。这里是我的相关代码: @Configuration @EnableGlobalMethodSecurity public class OpenAMMethodSecurityConfig extends Glob
    spring security 2017-10-20

    -1热度

    1回答

    如何隐藏URL中的keycloak.json

    我目前正在使用keycloak集成设置angular4项目。因此,我按照keycloak github存储库(angular2-product-example)中的示例创建keycloak.json客户端配置文件,并将其上载到我的web项目中,该项目可通过web url进行访问。我需要它有这样我可以初始化JS适配器: let keycloakAuth: any = new Keycloak('ke
    angular security keycloak keycloak-services 2017-10-21
最新问题