与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
我即将推出一个与技术知识共享相关的网站(Ruby on Rails)。它应托管在 AWS 上。我专门寻找“最佳安全实践”清单。我...
我正在尝试获取两个过滤器,一个用于捕获 jwt,另一个用于捕获 API 密钥。这是我的代码: @配置 @EnableWebSecurity 公共类安全配置{ @Autowired 私人
有没有办法使用 #define 重命名像 GetVolumeInformationW() 这样的 win32 函数? 例如: #define abc(LPCWSTR a, LPWSTR b, ...) GetVolumeInformationW(一些参数..) 为什么要这么做?我想要...
搜索了很长时间,我找不到有关 Serilog 如何处理日志源清理的信息。又名对抗“日志注入”或“日志伪造”的战斗......
这是不起作用的代码。它一直给我一个关于 Visual Studio 代码的名称错误。 导入时间 导入 psutil def display_usage(cpu_usage,mem_usage,bars = 50): cpu_百分比 = (cpu_使用 /...
如何验证以安全的 httponly cookie 发送到客户端的 JWT?
在我的 NodeJS 应用程序 RESTful API 中,当用户登录时,我创建一个 JWT 并将其以安全的 httponly cookie 发送到客户端: const jwt = utils.createJWT(user._id.toString()); const sessionId = utils.
通过ajax将大型laravel集合作为变量发送到控制器是否安全且可能?
我想从 html 按钮发送 laravel 集合 按钮: 我想从 html 按钮发送 laravel 集合 按钮: <button url="{{ route('get.pk',$pm) }}" data-pm="{{ json_encode($pm) }}"> <i class="fa fa-arrow-down text-white"></i> </button> ajax请求: let pm = $(this).data('pm'); if(check.length < 2){ $.ajax({ url: ini.attr('url'), method: "POST", dataType: 'json', data: {_token: "{{ csrf_token() }}", pm: pm}, }).done(function(data){ $(loc).replaceWith(data); }).fail(function(data){ $(loc).replaceWith('<tr><td colspan="16"><div align="center">Failed!</div></td></tr>'); }); } 在 Laravel 控制器中: $pmData = $request->input('pm'); 我想使用来自ajax的变量,但是它安全吗?因为我正在发送大量收藏。 我想使用它的原因是因为我渴望从 $pm 加载并且数据已经在那里被过滤,所以我不想发送 id 并再次过滤它,而是只想过滤一次并将其发送到控制器以使用它. 这样,当我单击箭头时,它会返回该行子级的数据 首先,我收到错误 max_input_vars 但我已经通过增加 php.ini 来修复它,但我想知道它是否安全并使我的网站性能变差? 或者除了这个方法之外还有其他方法来过滤数据吗,如果有请告诉我,谢谢 这个方法不好。在客户端保存所有必要的数据并将其发送到后端的概念是不好的。下面列出了一些(但不是全部)为什么它是一个糟糕的解决方案。 安全性,用户将能够查看私有数据或在 JSON 中添加某些内容并将其发送到后端,如果您不验证后端请求中的所有数据,则 DB 中将存储错误和危险的数据。 表现不佳。正如您已经说过的数据很大,所以发送大数据不是最佳方式。 不遵循任何概念。 最好发送 id、状态或表单中的任何字段,但不发送集合。 这是可能的,但不是一个好的选择,我将尝试解释潜在的问题和解决这些问题的适当方法,如果您仍然想继续,可以通过 Ajax 将大型 Laravel 集合作为变量发送到控制器,但是有关于安全性和性能,需要牢记一些注意事项。 安全 网络延迟: 通过 Ajax 发送大量数据可能会由于通过网络传输数据所需的时间而引入额外的延迟。对于中等规模的集合来说,这可能不是一个重要问题,但对于非常大的集合来说,它可能会影响用户体验。 服务器处理 在服务器端,处理大型集合可能会消耗更多内存和 CPU 资源。如果同时处理多个大型请求,这可能会影响应用程序的响应能力。 替代品 分页 考虑在服务器端实现分页,而不是立即发送整个集合。这样,您只需将数据的子集发送给客户端,他们就可以根据需要请求更多页面。 服务器上的过滤 既然您提到数据已经在客户端集合中进行了过滤,请考虑是否可以将过滤器参数发送到服务器并在那里应用过滤。这可以帮助减少传输的数据量,同时确保过滤逻辑的一致性。 缓存 根据数据的性质,您也许能够实施缓存策略,以减少重复过滤和处理相同数据的需要。 总之,您可以在这里做您想做的事情,但这应该在计划中采取适当的安全措施来完成。
免责声明:这是一个概念/设计问题,但我希望社区能够足够开放地让我发布它,我自己已经在这个想法上挣扎了很长时间,并且......
在 nginx 中为 403 禁止或 405 不允许响应返回 200 状态代码是否安全
我正在为我的应用程序使用react js。 在 Fortify Web 检查扫描期间,我遇到了一些与丢失 http 标头相关的问题。 请注意,我已经应用了必要的标头。 现在,在det...
Azure 阻止从用户代理 Mozilla/5.0 到应用服务的 POST 请求
我有一个 Azure 应用服务,具有基于 Azure Active Directory 的强制身份验证。它为 API 服务器和调用该服务器的 Web 应用程序提供服务。 所有的 GET 工作都完美,但是......
如何在Windows启动前运行Application.exe?
我有一个带有用户界面的 Windows 应用程序,可以执行一些操作... 现在我的客户希望这样,当他按下电源按钮时,MyApplication 会在他强制输入用户名和密码之前运行!
我在PieCloudDB数据库中创建了一个ROLE1,并授予user1和user2相同的角色,现在如果同一角色具有在共享模式中写入sql视图的权限,我如何防止user1编辑或
当我的应用程序中的用户在剧院中虚拟鼓掌时,它将发送请求在 Supabase 中将计数加 1。 目前,我正在使用signInWithPassword进行身份验证和更新...
我部署了一个小程序,但是当我尝试使用“小程序”标签访问它时,它给出了以下错误,但是当我使用 eclipse“作为 Java 小程序运行”选项从 eclipse 运行它时,小程序会运行。
我有一个 GCP 虚拟机实例。我希望只允许某些用户提取映像并在实例上运行 docker 容器。我怎样才能限制这个?
我想在远程主机(例如 proxy.example.com)中创建一个用户,是否有像 git-shell 这样的受限登录 shell 用于仅代理 ssh 访问?
使用 Adobe PDF 打印机打印文档时,我得到以下信息: 此 PostScript 文件是从加密的 PDF 文件创建的。不允许重新提取加密的 PDF。 但如果我查看 PDF 文件...
Android java.security.cert.CertPathValidatorException:找不到证书路径的信任锚
Android 应用程序需要三个主机进行身份验证和授权。最终宿主是 REST API。第一次使用 Oauth 身份验证和授权过程,无需
如何在 Spring Test 的 RestTemplate 中创建带有 json 内容类型标头的纯 http 请求?
有一个简单的rest/api spring boot项目,当架构输入错误时需要测试,如下所示: curl -D- -X POST -H '内容类型:application/json' \ -d '坏架构-$@#%{[|!/-' \ http://127.0....
我正在尝试学习道德黑客行为。我正在尝试实验室教程,该网站过滤小写输入。网站如下。我可以尝试什么? ...</desc> <question vote="0"> <p>我正在尝试学习道德黑客行为。我正在尝试实验室教程,该网站过滤小写输入。网站如下。我可以尝试什么?</p> <pre><code> <body> <script> function filterInput(input) { return input.replace(/([a-z]+)/g, '<>'); } </script> <div id="123"></div> <script> function getParameter() { var params= new URLSearchParams(window.location.search); return filterInput(params.get('message')); } function onloadFunc() { var message = getParameter(); if (message) { document.getElementById('123').innerHTML = message; } } </script> <script type="text/javascript"> window.onload = function() { onloadFunc(); }; </script> </body> </code></pre> <p>我尝试了alert(1),但这是js函数,它必须是小写的。已经过滤了。</p> </question> <answer tick="false" vote="-1"> <p>所以,你想小写所有字母,然后:</p> <pre><code>let text = "HIiiiii"; let result = text.toLowerCase(); </code></pre> </answer> </body></html>