security

    0熱度

    3回答

    可以攻擊者注入SQL或JavaScript到Java POJO?

    我有一個表格,用戶可以註冊到我的網站 的數據被存儲在用戶POJO class User{ private String userName; private boolean enabled; private Date registrationDate; ... } ,然後堅持用 org.hibernate.Session.persist(User) 數據庫是有辦法的攻擊者可以在us
    java hibernate security xss sql-injection 2017-10-19

    3熱度

    1回答

    在反應應用程序中使用API​​密鑰

    我有一個使用兩個第三方服務的React應用程序。該應用程序開始使用react-create-app。 這兩個服務都需要一個API密鑰。 一個密鑰通過腳本標籤供給,這樣的: <script type="text/javascript" src="https://myapi?key=MY_KEY"> </script> 另一API密鑰在一個請求中使用。我將實際的密鑰存儲在一個常量中,並用它來形成
    reactjs security design frontend api-key 2017-10-19

    1熱度

    1回答

    簽署API從前端調用後端

    我在執行鍼對前端與使用密鑰後端通信的安全方式。後端是敏感業務 首先,我想智威湯遜,但基於令牌的方法有兩個缺點(手機銀行): 一)前端必須獲得令牌,這意味着它必須向後端發送一些認證數據 - 如果前端可以做到這一點,任何人都可以做到這一點。 二)即使獲得令牌的一些安全的方式,任何人都可以啓動Chrome瀏覽器開發工具,並使用它,而它沒有過期。 所以另一種方法是從簽署前端用密鑰每個請求。關鍵是衆所周知的
    javascript django security jwt 2017-10-20

    0熱度

    1回答

    如何使用敏感數據運行cron作業?

    我讀了Where can I set environment variables that crontab will use?關於如何爲由cron運行的腳本設置ENV變量。 最明顯和工作方法是把變量上的crontab計劃文件的頂部是這樣的: MYVAR=something * * * * * /somescript.sh 這似乎是罰款,直到我希望我的腳本使用像登錄/密碼的敏感值登錄到,例如一
    security cron 2017-10-20

    0熱度

    2回答

    Django的 - CSRF驗證失敗 - 從形式發送數據的靜態網站,我的Django應用程序

    我的設置: 靜態網站的登陸頁面通過AWS S3 (welcome.mydomain.com)提供服務。 一個django應用程序(Django的1.8與python 2.7) 可通過子域(app.mydomain.com)訪問。 我想添加一個聯繫表單,這是我的靜態網站的一部分,它將聯繫表單信息發送到我的django服務器進行處理。 我不想將聯繫表單作爲模板添加到我的django應用中,因爲我使用不
    django security amazon-s3 django-forms django-csrf 2017-10-20

    1熱度

    1回答

    保守的外鍵在雄辯的模型上的優點

    我有一個表,稱爲用戶。該表在名爲projects的另一個表中有一個名爲project_id的外鍵。我的頁面上的用戶將看到一個包含所有項目的下拉列表,並且可以選擇其中的一個。然後,我將使用所選項目的主鍵作爲新創建用戶的外鍵。 現在在laravel的雄辯模型中,我已經讀到爲了安全起見外鍵總是應該被守護(不能是大規模賦值的)。我不明白這是爲什麼。假設我驗證了project_id存在於項目表中,我不應該確
    php laravel security laravel-5 eloquent 2017-10-20

    -1熱度

    1回答

    網站上的電子郵件地址和(未受保護的)聯繫表單是安全/ spamer風險嗎?

    我找不到這個問題的明確答案。我正在爲以下兩個主題尋找一些最新的最佳實踐建議: 在我的網站上顯示電子郵件地址(也通過mailto :)鏈接)。 在我的網站上有一個「不受保護的」聯繫表格(沒有captcha 等)。 這是通過aws S3服務的靜態網站。 我害怕被垃圾郵件發送者擊中。 我怎樣才能以優雅的方式避免這種情況(理想情況下,用戶不會注意到)?
    security captcha spam-prevention email-spam 2017-10-20

    1熱度

    1回答

    更改後訪問基於禁止的用戶角色

    在我的網站中,我想給一些用戶更改角色的能力,請點擊按鈕。我用以下方式實現它: $post = Request::createFromGlobals(); if($post->request->has('change') && $user->hasRole('ROLE_MEDIA') == False){ $em = $this->getDoctrine()->getManager()
    php symfony security controller restriction 2017-10-20

    2熱度

    1回答

    禁用@EnableGlobalMethodSecurity進行測試

    我閱讀之前有關禁用@EnableGlobalMethodSecurity解決方案的文章,但它對我無效。基本上,我需要在啓動時啓用/禁用我的@PreAuthorize批註以用於測試目的。這裏是我的相關代碼: @Configuration @EnableGlobalMethodSecurity public class OpenAMMethodSecurityConfig extends Glob
    spring security 2017-10-20

    -1熱度

    1回答

    如何隱藏URL中的keycloak.json

    我目前正在使用keycloak集成設置angular4項目。因此,我按照keycloak github存儲庫(angular2-product-example)中的示例創建keycloak.json客戶端配置文件,並將其上載到我的web項目中,該項目可通過web url進行訪問。我需要它有這樣我可以初始化JS適配器: let keycloakAuth: any = new Keycloak('ke
    angular security keycloak keycloak-services 2017-10-21
最新問題