Questions tagged «security»

与应用程序安全性和对软件的攻击有关的主题。请不要单独使用此标签,否则会造成歧义。如果您的问题与特定的编程问题无关,请考虑改为在Information Security SE上提问:https://security.stackexchange.com

8
HTTPS标头是否已加密?
通过HTTPS发送数据时,我知道内容是加密的,但是我听到有关标头是加密的还是标头加密了多少的混合答案。 多少个HTTPS标头已加密? 包括GET / POST请求URL,Cookie等。
598 security  post  encryption  https  get 

7
SecurityError:阻止了具有原点的框架访问跨域框架
我正在<iframe>HTML页面中加载,并尝试使用Javascript访问其中的元素,但是当我尝试执行代码时,出现以下错误: SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame. 您能否帮助我找到解决方案,以便我可以访问框架中的元素? 我正在使用此代码进行测试,但徒劳无功: $(document).ready(function() { var iframeWindow = document.getElementById("my-iframe-id").contentWindow; iframeWindow.addEventListener("load", function() { var doc = iframe.contentDocument || iframe.contentWindow.document; var target = doc.getElementById("my-target-id"); target.innerHTML = "Found it!"; }); });




4
对网站实施“记住我”的最佳方法是什么?[关闭]
已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗?更新问题,使其仅通过编辑此帖子来关注一个问题。 4年前关闭。 我希望我的网站上有一个复选框,用户可以单击它,这样他们每次访问我的网站时都不必登录。我知道我需要在他们的计算机上存储cookie才能实现此目的,但是该cookie中应包含什么? 另外,是否有一些常见的错误需要提防,以防止此Cookie出现安全漏洞,而在仍然提供“记住我”功能的情况下可以避免该错误?

12
散列和加密算法之间的根本区别
我看到散列和加密算法之间有很多混淆,我想听听一些有关以下方面的专家建议: 何时使用散列与加密 是什么使哈希算法或加密算法与理论/数学水平不同(即,使哈希值不可逆(无需借助彩虹树)) 这里有一些类似的 SO问题,没有像我想要的那样详细: 混淆,哈希和加密之间有什么区别? 加密和哈希之间的区别

11
JWT(JSON Web令牌)自动延长有效期
我想对我们的新REST API实施基于JWT的身份验证。但是,由于在令牌中设置了有效期,是否可以自动延长有效期?我不希望用户在此期间正在使用该应用程序的情况下,每隔X分钟登录一次。那将是巨大的用户体验失败。 但是,延长有效期会创建一个新令牌(旧令牌在过期之前仍然有效)。在每个请求之后生成一个新令牌对我来说听起来很愚蠢。当多个令牌同时有效时,听起来像一个安全问题。当然,我可以使用黑名单来使旧的使用过的无效,但我需要存储令牌。JWT的好处之一是无需存储。 我发现Auth0如何解决它。它们不仅使用JWT令牌,而且还使用刷新令牌:https : //docs.auth0.com/refresh-token 但是同样,要实现此功能(不使用Auth0),我需要存储刷新令牌并保持其过期。那么,真正的好处是什么?为什么不只有一个令牌(而不是JWT)并在服务器上保留到期时间? 还有其他选择吗?使用JWT是否不适合这种情况?

8
在数据库中存储密码的最佳方法
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案会得到事实,参考或专业知识的支持,但是这个问题可能会引起辩论,争论,民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出,请访问帮助中心以获取指导。 8年前关闭。 我正在一个必须进行身份验证(用户名和密码)的项目中 它还连接到数据库,所以我想我会将用户名和密码存储在那里。但是,在数据库上的表中仅具有文本字段的密码似乎不是一个好主意。 我正在使用C#并连接到2008 Express服务器。谁能(以尽可能多的示例)建议存储这种类型的数据的最佳方法是什么? 附言:如果可以提供充分的理由,我不希望此信息不存储在数据库中

17
每个程序员应该对安全性了解什么?[关闭]
已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗?更新问题,以便通过编辑此帖子以事实和引用的形式回答。 3年前关闭。 我是一名IT专业学生,现在已经大学三年级了。到目前为止,我们一直在研究很多与计算机相关的主题(编程,算法,计算机体系结构,数学等)。 我非常确定没有人可以学习有关安全性的所有知识,但可以确保每个程序员或IT学生都应该了解“最小”知识,而我的问题是,这是最低知识? 您能否建议一些电子书或课程,或者有什么可以帮助您开始这条路的?
427 security 

30
禁用浏览器的“保存密码”功能
在政府医疗机构工作的乐趣之一是必须处理与PHI(受保护的健康信息)打交道有关的所有偏执狂。不要误会我的意思,我全力以赴来尽一切可能保护人们的个人信息(健康,财务,上网习惯等),但是有时候人们会显得有些过份。 恰当的例子:我们的一位州客户最近发现,该浏览器提供了方便的功能来保存您的密码。我们都知道它已经存在了一段时间,并且完全是可选的,并且最终用户可以决定是否使用它是明智的决定。但是,目前有一些骚动,我们被要求找到一种方法来禁用我们网站的功能。 问题:网站是否可以告诉浏览器不要提供记住密码的方法?我从事Web开发已有很长时间了,但是我不知道我以前曾遇到过。 任何帮助表示赞赏。

30
您看到过的最严重的安全漏洞?[关闭]
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实,参考或专业知识的支持,但是这个问题可能会引起辩论,争论,民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出,请访问帮助中心以获取指导。 8年前关闭。 已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 您见过的最严重的安全漏洞是什么?限制细节以保护罪行可能是一个好主意。 对于它的价值,这里有一个问题,如果您发现安全漏洞,该怎么办;如果公司没有(似乎)做出响应,那么另一个问题就是一些有用的答案。
413 security 

16
如何在PHP中保护数据库密码?
当PHP应用程序建立数据库连接时,通常当然需要传递登录名和密码。如果我为我的应用程序使用单个最小权限登录名,则PHP需要在某个地方知道该登录名和密码。保护该密码的最佳方法是什么?似乎只在PHP代码中编写它不是一个好主意。
404 php  database  security 

1
“本地系统”帐户和“网络服务”帐户之间的区别?
我编写了一个Windows服务,该服务产生了一个单独的进程。此过程将创建一个COM对象。如果该服务在“本地系统”帐户下运行,则一切正常,但是,如果该服务在“网络服务”帐户下运行,则外部进程将启动,但无法创建COM对象。从COM对象创建返回的错误不是标准的COM错误(我认为这是特定于正在创建的COM对象)。 那么,如何确定“本地系统”和“网络服务”这两个帐户之间的区别?这些内置帐户似乎非常神秘,似乎没人对它们了解太多。
386 windows  security 

5
为什么需要JsonRequestBehavior?
为什么Json Request Behavior需要? 如果我想将HttpGet请求限制为我的操作,则可以使用[HttpPost]属性装饰该操作 例: [HttpPost] public JsonResult Foo() { return Json("Secrets"); } // Instead of: public JsonResult Foo() { return Json("Secrets", JsonRequestBehavior.AllowGet); } 为什么还[HttpPost]不够? 为什么框架会用我们拥有的JsonRequestBehavior.AllowGet所有东西“困扰”我们JsonResult。如果我想拒绝获取请求,则添加HttpPost属性。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.