Po skonfigurowaniu Spring Security 3.2 _csrf.tokennie jest powiązany z żądaniem ani obiektem sesji. Oto konfiguracja zabezpieczeń wiosny: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login...
Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było na temat przepełnienia stosu. Zamknięte 8 lat temu . Popraw to pytanie Jestem ciekawy, jak chronisz swoje...
Według Wikipedii: http://en.wikipedia.org/wiki/Transport_Layer_Security Wygląda na to, że TLS zastępuje SSL, ale większość witryn nadal korzysta z SSL?
Czy istnieje sposób na odczytanie bezpiecznego pliku cookie za pomocą JavaScript? Próbowałem to zrobić za pomocą document.cookiei, o ile widzę w tym artykule o bezpiecznych plikach cookie i fladze HttpOnly , nie mogę w ten sposób uzyskać dostępu do bezpiecznego pliku cookie. Czy ktoś może...
AKTUALIZACJA: Niedawno dowiedziałem się z tego pytania, że w całej dyskusji poniżej ja (i jestem pewien, że inni też) byłem nieco zagmatwany: to, co wciąż nazywam tęczowym stołem, tak naprawdę nazywa się tablicą mieszającą. Tęczowe stoły są bardziej złożonymi stworzeniami i są w rzeczywistości...
Na naszej stronie udostępniamy użytkownikom symulację opartą na ich prywatnych informacjach (podanych w formularzu). Chcielibyśmy pozwolić im później wrócić do wyników symulacji, ale bez zmuszania ich do tworzenia konta z loginem / hasłem. Pomyśleliśmy o wysłaniu im e-maila z linkiem, z którego...
Czy można zaufać $_SERVER['REMOTE_ADDR']? Czy można go zastąpić, zmieniając nagłówek żądania lub coś w tym rodzaju? Czy napisanie czegoś takiego jest bezpieczne? if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { // my ip address $grant_all_admin_rights = true; }
Tak więc z wieloma różnymi usługami, API Google, API Twittera, API Facebooka itp. Każda usługa ma klucz API, taki jak: AIzaSyClzfrOzB818x55FASHvX4JuGQciR9lv7q Wszystkie klucze różnią się długością i znakami, które zawierają, zastanawiam się, jakie jest najlepsze podejście do generowania...
Mam CKeditor na swoim jsp i za każdym razem, gdy coś przesyłam, wyskakuje następujący błąd: Refused to display 'http://localhost:8080/xxx/xxx/upload-image?CKEditor=text&CKEditorFuncNum=1&langCode=ru' in a frame because it set 'X-Frame-Options' to 'DENY'. Próbowałem usunąć Spring...
Jestem stosunkowo nowy w zabezpieczeniach Spring and Spring. Próbowałem napisać program, w którym musiałem uwierzytelnić użytkownika na końcu serwera za pomocą zabezpieczeń Spring, Wymyśliłem: public class CustomAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider{...
Muszę zaimplementować bezpieczne usługi sieciowe RESTful . Zrobiłem już pewne badania za pomocą Google, ale utknąłem. Opcje: TLS (HTTPS) + Podstawowy HTTP (pc1oad1etter) HTTP Digest dwuetapowa autoryzacja OAuth podejście oparte na plikach cookie certyfikaty klientów (Tom Ritter i tutaj...
Nie jestem pewien, czy jest to błąd w Spring 5.0.3, czy nowa funkcja, która naprawia rzeczy po mojej stronie. Po uaktualnieniu pojawia się ten błąd. Co ciekawe ten błąd występuje tylko na moim lokalnym komputerze. Ten sam kod w środowisku testowym z protokołem HTTPS działa dobrze. Kontynuacja...
.classPliki Java można dość łatwo dekompilować. Jak mogę chronić swoją bazę danych, jeśli muszę używać danych logowania w kodzie?
Muszę przechowywać poufne informacje (symetryczny klucz szyfrowania, który chcę zachować dla siebie) w mojej aplikacji C ++. Prostym podejściem jest zrobienie tego: std::string myKey = "mysupersupersecretpasswordthatyouwillneverguess"; Jednak uruchomienie aplikacji przez stringsproces (lub...
Mam pytanie dotyczące typów tabel zdefiniowanych przez użytkownika w programie SQL Server 2008. Na potrzeby jednej z aplikacji ASP.NET zdefiniowaliśmy własne typy tabel na SQL Server 2008, aby używać ich jako parametrów w procedurach składowanych (wykonując polecenie sql w aplikacji ASP.NET...
Próbuję zaimplementować delegowaną autoryzację w internetowym interfejsie API dla aplikacji mobilnych przy użyciu protokołu OAuth 2.0. Zgodnie ze specyfikacją niejawny przepływ uprawnień nie obsługuje tokenów odświeżania, co oznacza, że po przyznaniu tokenu dostępu na określony czas użytkownik...
Mam problem z --disable-web-securityflagą. Nie działa w Chrome 48 i Chrome 49 beta w systemie Windows. Próbowałem najpierw zabić wszystkie instancje, zrestartować i uruchomić Chrome z flagą, wypróbowałem też różne maszyny. W wersji beta widzę wyskakujące okienko z ostrzeżeniem („Używasz...
Chcę zweryfikować zestaw poświadczeń względem kontrolera domeny. na przykład: Username: STACKOVERFLOW\joel Password: splotchy Metoda 1. Zapytanie do usługi Active Directory z personifikacją Wiele osób sugeruje wyszukanie czegoś w usłudze Active Directory. Jeśli zostanie zgłoszony wyjątek, to...
Aktualizacja: Proszę zauważyć, że nie pytam, czym jest sól, czym jest tęczowy stół, czym jest atak słownikowy ani jaki jest cel soli. Pytam: Jeśli znasz sól i hash użytkowników, czy nie jest łatwo obliczyć ich hasło? Rozumiem ten proces i sam go wdrażam w niektórych swoich projektach. s =...
Używam bezpaństwowych zabezpieczeń sprężynowych, ale w przypadku rejestracji chcę wyłączyć zabezpieczenia wiosny antMatchers("/api/v1/signup").permitAll(). ale to nie działa, pojawia się błąd poniżej: message=An Authentication object was not found in the SecurityContext,...