Django I18N外部重定向安全问题
(我是Django的新手) 我进行了自动扫描(OWASP ZAP)来测试我的应用程序安全性,并且它正在为外部重定向返回高风险标志: 自动扫描警报 看起来与路径…
我的Web应用程序未公开托管,我需要担心CSRF吗?
我的Web应用程序无法公开使用,将在防火墙中被某些经过验证的用户使用。 我需要担心CSRF吗? 阅读有关CSRF攻击及以下内容的信息: 摘自Spring文档: -…
内容 - 安全性封锁允许清单域
我已经使用了一个仅限的Policy-Policy-Policy-Poly-Poly-Releply标题,并且一直在看到在同一CSP标头中允许列入多个域的违规行为。我将所有要允许列表…
使用Windows安全性和模拟的远程连接到SQL Server
我想调整Windows登录到DBMail(用于发送附件),第一步是简单的打开连接到存储DBMail配置的SQL Server。 我已经在名为 dbmail 的Windows中创建了一个…
使用ASP.NET 4.8的CSP策略
https://csp-evaluator.withgoogle.com/ 显示经典ASP.NET网站i' m处理以下结果: object-src'none'; img-src“自我”; Script-Src'self';需要信任型…
以编程方式防止基于浏览器的代码提出HTTP请求
如何防止第三方JS代码从我的Web应用程序中提出HTTP请求? 带有水疗框架(例如React)的基于节点的Web应用程序,将导入数百个(即使不是数千个)的第三…
JWT算法的重点是什么?
JWT标头看起来像这样: { "alg": "HS256", "typ": "JWT" } 此标头将是基本64编码和加密的。 因此,如果将JWT发送到服务器,服务器已经知道算法如何加…
XSS:json_encode()在PHP中使用或不带HTMSpecialChars()
我已经看到了多个帖子/示例,其中 json_encode()在 htmlspecialchars()中使用,以防止XSS在HTML中使用JavaScript中使用PHP时。尽管如此,我还看到…
Webhook侦听器与CSRF
我想为第三方应用程序创建一个Webhook侦听器。但是,我必须使用@csrf_exempt。 如果不使用上述我的Web应用程序,则不允许第三方应用程序发送Webhook数…
API:如何从非相关用户获得访问权?
我正在开发REST API。在我的移动应用程序中,我们有多个用户角色,它们都使用相同的API。认为角色就像 customer ,供应商和 admin 。 API使用令牌,确…
OAuth 2我可以同时使用帖子表单响应和PCKE吗?
我正在尝试保护水疗中心,现在有建议使用PCKE的建议,还有很多文章建议使用后表单响应,但是,如果服务器返回HTML表单,那么我将如何添加PCKE验证器?…
我应该选择哪种OAuth 2.0 / OpenID连接流?
我有一个需要添加身份验证&的场景。授权授予本机iOS / Android应用程序。该应用程序允许商店的员工执行其业务运营: 每个商店都在服务器上为其创…
