我正在开发一个需要用户登录的应用程序。在服务器端,我使用PBKDF2算法散列密码,但目前我正以纯文本字符串的形式向服务器发送密码。现在它容易嗅探,但我不知道如何改变它。我该怎么做才能让这个更安全?
浏览 0提问于2018-04-06得票数 6
让我们假设我有一个简单的应用程序,它将数据发送到服务器(而不是放在我的网络中),例如,0 1 2 3 4 5 (显式数据)在彼此之间的一秒内延迟。是否有可能截获部分数据,修改数据并发送,就像我的应用程序发送的数据一样?怎么做?我该知道些什么?
我知道这个问题有点致命,但我真的很好奇。
浏览 0提问于2013-09-27得票数 0
回答已采纳
许多公司在员工的笔记本电脑上安装了一个UEM代理,以跟踪笔记本电脑的健康状况。如果这个UEM将“健康”状态发回给服务器,他们允许笔记本电脑连接到内部网络。
如果设备受到破坏,攻击者将获得OS级权限。我们如何防止攻击者杀死UEM代理并向服务器发送假的“健康”通信量?
我的想法:
流量可以使用服务器的公钥加密,但这并不重要,因为攻击者可以通过OS访问在您的计算机中获取公钥。
在启动服务器会话之前,使用Yubico (U2f)对代理进行身份验证。这有点帮助,因为这防止了会话复制攻击,攻击者只能执行会话传递。(私钥不存储在系统上)但是,如果攻击者修补代理而不是杀死它怎么办?
不相信你的UEM状态?
浏览 0提问于2018-12-02得票数 0
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
1回答
我试图在客户端和服务器之间安全地发送数据。我用AES加密敏感数据,然后用RSA加密密钥,然后使用签名确保数据不被更改。
它看起来很安全,但我听说了一个bug,我不知道它的名字,但它是这样工作的:
首先,客户端向服务器发送加密请求。
黑客可以看到加密的请求,但无法解密。
黑客一次又一次地将加密请求转发给服务器,并试图找出发生了什么事。
例如,客户端向服务器发送一个请求,该服务器上传图片并将该图片添加到他或她的墙上。黑客可以重新发送此请求数百次,因此服务器将上传该图像并将其一次又一次地添加到客户端的墙上。啊!怎么这么乱呀!
所以我的问题是:
这个虫子叫什么名字?
怎么阻
浏览 0提问于2018-06-29得票数 1
我有一个CentOS服务器,它有时会崩溃或者受到DDOS的攻击。目前,我有一个场外备份,其中填充了1.7TB的数据。目前,我为备份支付的费用和服务器的费用一样多,我正在从有经验的人那里寻求关于从这里开始的最佳选择的建议。
它是否是一个可行的解决方案,放弃离地备份,而是购买一个额外的服务器,这是一个完全复制的第一个服务器。因此,如果第一台服务器停机,用户将被重新路由到第二台服务器,而不会注意到第一台服务器已经关闭。这将创建第一台服务器的自动备份(尽管不是非现场备份),并放弃对昂贵的离站备份的需求。
以上解决方案是昂贵备份的真正解决方案,还是绝对必要的非现场备份?我该怎么做(很明显,这很复杂,所以
浏览 0提问于2012-09-28得票数 -1
回答已采纳
2回答
网络身份验证API允许通过HTTPS服务的网站允许用户通过非对称加密进行身份验证。登录的过程基本上如下:
服务器发送一个质询(16个随机字节);
客户签署挑战;
客户端发送签名。
这怎么比基于密码的认证更好呢?
MDN说:
这解决了与钓鱼、数据破坏和对短信或其他第二因素身份验证方法( ... )的攻击有关的重大安全问题。
我不明白它如何防止钓鱼或攻击2FA的方法。如果密码经过适当的散列,并且TLS已经确保中间人不能窃取密码或执行重放攻击,则不会减少数据泄露的后果,对吗?
浏览 0提问于2020-10-29得票数 1
回答已采纳
1回答
这可能是一个愚蠢的问题,但通过System.setProperty设置我的web服务器ssl配置(例如密钥库密码)有多大的安全风险?
如果我做了这样的事情:
System.setProperty("javax.net.keyStorePassword", "password");
有可能导致安全问题吗?是否有办法在设置财产的同时防范这种风险?会怎么做出妥协?
注意:为了增加更多细节,这是一个运行在Red的Tomcat 6上的web应用程序。
浏览 4提问于2009-04-30得票数 3
回答已采纳
我目前正在使用Apache服务器作为我的项目的Wamp应用程序。在进行安全扫描时,报告中出现了两个错误:
Field(s)Absence 服务器通过抗CSRF令牌的“X驱动-By”HTTP响应头泄漏信息。
我该怎么做才能解决这些问题?谢谢。
浏览 2提问于2021-02-09得票数 1
回答已采纳
我在亚马逊网络服务的EC2服务器上有一个WordPress博客。我按照亚马逊网络服务的this教程,配置了拥有apache:apache的目录2775和文件0664的web root /var/www/html权限,我可以正常地安装我的网站并通过wordpress进行编辑。 然而,上周我注意到网站上有一些奇怪的行为,当我查看网站根目录时,我发现一个新的目录被创建了,里面全是垃圾的php文件。该目录具有随机名称和所有权apache:apache 这是一个SSL服务器,所以它在端口80和442上有0.0.0.0的访问权限(我通过LetsEncrypt和HSTS有SSL)。 我的问题是:某人如何能
浏览 19提问于2019-03-12得票数 1
2回答
欺骗性&r快照帮助我将文件备份到远程FTP服务器。如果服务器硬盘失败,我可以恢复文件。但是如果有人侵入我的本地服务器,他可以从cron脚本中获取所有远程服务器访问信息,那么黑客就可以删除远程FTP服务器文件。我怎么才能把它备份好。(防止硬盘故障&黑客)
浏览 0提问于2011-01-29得票数 1
我有一个android应用程序,用户可以输入他们的用户名和密码来登录应用程序
我也有一个服务器,其中PHP代码负责与服务器上的数据库检查用户名和密码
因此,场景如下:
1-在android应用程序中,用户输入其用户名和密码
2-在android应用程序中,应用程序连接到服务器的PHP文件
3-在服务器端,用户数据与服务器的数据库进行核对
如果允许用户输入用户名和密码,则也允许攻击者
攻击者可以自动重复更改用户名和密码,并连接到服务器的PHP代码
尽管攻击者输入的用户名和密码没有在数据库中注册,在这方面没有问题,但攻击者反复向服务器发出不同的请求,服务器必须响应用户名和密码无效
现在的问题如下:
浏览 2提问于2018-05-07得票数 0
2回答
因此,我公司的一些合作伙伴通知我们,他们将完全禁用服务器的SSLv3支持。
这促使我的上司抓住这个机会更新我们的操作团队的互联网浏览器,以禁用对SSLv3的支持。
我们知道Chrome和Firefox已经发布了禁用SSLv3的更新,因此我们要求他们将浏览器更新为最新版本。然而,即使在我们应用了最新的更新之后,当我们通过某些测试时,它们仍然显示浏览器是脆弱的。
甚至奇怪的是,一些PC会显示脆弱,而一些显示不脆弱。
知道怎么回事吗?
使用的测试:https://www.poodletest.com/ https://zmap.io/sslv3/sslv3test.html
浏览 0提问于2015-03-17得票数 2
一种常见的情况:水疗+休息。如果要放弃Auth0并使用JWT对web用户进行身份验证,则必须在cookie中登录时存储服务器提供的XSRF令牌,并将其与JWT一起发送到请求头中。
在相关的官方Auth0指南中,根本没有提到XSRF令牌。如果有人从用户那里窃取访问令牌怎么办?他们能访问我的REST吗?
Auth0还有另一个指南,但它非常简短,我不知道它是如何解决我描述的问题的。
浏览 3提问于2018-08-30得票数 1
回答已采纳
我正在为REST研究HTTP,我希望通过使用模式来使它更加安全,但我非常肯定我实际上已经做了类似的事情(完全是偶然的)。
这是我的流程:
客户端使用用户名和密码向服务器发出POST请求。
服务器使用JWT令牌进行响应。
客户端将令牌保存到cookie中。
在随后的请求中,客户端读取令牌cookie并将令牌放入授权头(我非常肯定这一步骤相当于双cookie提交技术)。
服务器根据授权头中的有效令牌对用户进行身份验证。
由于服务器没有检查cookie和HTTP头匹配(如果我需要的话,这将是很简单的),所以这并不是100%的等价物。
到目前为止,我所拥有的是否足以阻止XS
浏览 1提问于2017-03-19得票数 3
回答已采纳
在ASP.Net 1.1中,终端用户是否可以在将视图数据发送回服务器之前更改视图数据,例如,使其看起来像是在一个不存在的下拉列表中选择了一个项目?我尝试过使用firebug操作下拉列表中的值,但服务器似乎忽略了这一点,我假设是因为视图状态显示该项不存在,如果可以更改视图数据来实现这一点,那么可能会出现更大的问题。
我之所以这样问,是因为我被要求检查我们的一个应用程序的安全性,如果上述情况可行,可能会存在很大的安全漏洞。
我只是想澄清一下,我不是在问怎么做,我不想破坏别人的软件,我只想知道它是不是需要关注的东西。
希望这是有意义的。
谢谢
浏览 1提问于2009-06-26得票数 3
回答已采纳
2回答
例如..。POST请求包含对服务器的命令,给用户X $10。它是通过HTTPS发送的,所以从中间人攻击中可以得到好处。
但是,攻击者是否有可能嗅探数据包(忽略内容),然后创建同一个数据包的副本,然后向服务器发送多个副本,就好像它们来自合法的源一样。
如果一个POST请求将用户X帐户余额增加10美元,如果同一个数据包被重传10次,这种利用不是可以使用户X帐户拥有100美元吗?
HTTPS是否有一些令牌检查机制来防止这种攻击?
浏览 4提问于2014-12-04得票数 1
回答已采纳
2回答
我最近开发了一个android应用程序,通过HTTPS请求向服务器发送一些信息。信息存储在请求正文中。然而,其中一个应用程序用户似乎正在修改请求的内容。我不知道这怎么可能,因为我当时的印象是,如果使用HTTPS,内容是完全加密的,是不可能被截取的。然而,现在看来,这种假设是错误的。
有谁能帮我理解一下,用户是如何截获这个请求的?
浏览 4提问于2015-04-18得票数 0
回答已采纳
鉴于假设情况:
一个用户登录他的银行网站
服务器返回一个只包含用户id、加密的Http-专用cookie。
对于每个请求(例如在传输资金时),服务器对id进行解密和检查。
在任何表单上都不会生成CSRF令牌,并且请求验证是基于加密的id的。
在这种情况下,CSRF攻击可能吗?如果是的话,如何运作呢?
浏览 0提问于2016-11-07得票数 2
1回答
我正在开发一个Chrome扩展程序,它集成了一个网站。我的用户可以在这个网站上做行动,当他们登录到它。
我有一个Socket.IO服务器,它向我的Chrome扩展提供命令。命令到达后,扩展将从主机网站调用一个本地函数。然后,拥有具有自己API的经过身份验证的活动会话的主机网站将调用一些更新/插入调用。
我最近意识到一个潜在的安全问题,即如果有人在我的扩展客户端组织上欺骗我的服务器地址,他可以很容易地滥用它来代表我的服务器()发送自己的参数。
有什么聪明的方法可以确保我的客户与真正的服务器而不是冒名顶替者进行交流?
浏览 7提问于2021-05-25得票数 0
回答已采纳
在web应用程序中使用OAuth授权代码流时,在资源所有者成功身份验证之后,授权服务器通常通过浏览器重定向响应,通过重定向URL的查询字符串将授权代码传递回客户端。
现在,如果重定向URL足够短,则整个URL (包括授权代码)符合浏览器地址栏的可见空间。正在查看受害者肩膀的攻击者现在可以看到此授权代码。理论上,如果攻击者比受害者的浏览器更快,他就能够窃取该授权代码并将其传递给自己客户端的重定向端点。
实例:
有人在直播他的浏览器窗口给一个低延迟的公众观众。观众中的攻击者已经完全自动化了攻击:捕获视频流,截获授权代码,然后用于窃取受害者的登录会话。
问题:
客户端(或相应的后端)可以做些什么来防
浏览 0提问于2019-12-05得票数 4
回答已采纳
2回答
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0提问于2019-03-12得票数 3
回答已采纳
1回答
Chrome不打开Https网站
、、、、
我是代理服务器的公司用户。我正在开发Fedora 20操作系统并安装了Chrome浏览器。
我在“设置->网络->更改代理设置->网络代理”下设置代理设置。
我在HTTP代理中给出了代理设置。
PFA图像
📷
但我不能通过HTTPS访问一个网站,它需要时间来加载,最后它返回网站没有找到。
我需要在全系统范围内改变任何东西吗?如果是这样的话,是怎么做的?
浏览 0提问于2014-09-23得票数 3
1回答
检测浏览器用户代理伪造
、、、
尽管人们应该使用从合法站点下载的经过批准的浏览器来使用这些浏览器是很重要的,但是服务器是否有任何方法来检测是否有人在欺骗浏览器(用户代理)?
我的问题是特别提到安全问题。如果有人创建了一个浏览器(用户代理),并且不尊重一些契约(例如,cookies的相同来源策略)来利用那里的漏洞,该怎么办?这个不合法的浏览器可以声称它是一个真正的用户代理,方法是用在火狐或Chrome中使用的标准值填充User-Agent头。
在服务器端是否有任何方法来检测用户是否在使用欺骗的用户代理,以便服务器可以在需要时采取反措施?或者,这是否是使用浏览器的个人的绝对责任,只使用经批准的浏览器(服务器无法检测到)?
浏览 0提问于2020-07-25得票数 2
回答已采纳
1回答
有线网络上的802.1X
、、、
假设我在通过基于802.1X端口的身份验证和radius服务器连接到交换机(Cisco SF220)的办公室中保护物理可访问的SF220套接字。
授权设备拥有允许它们向radius服务器进行身份验证的证书。假设这样的设备安装在某个地方,并连接到受保护的端口。
如果攻击者断开授权设备的连接并插入其(恶意)设备,将无法在没有有效证书/登录的情况下进行身份验证。但是,如果攻击者连接交换机/集线器,并将其恶意设备和我授权的设备连接到端口,怎么办?
授权的设备不会对radius服务器进行身份验证,并且交换机将把端口放到我受保护的VLAN的访问端口中。因此,最终他的恶意设备也可以访问,因为它只是基于端口的
浏览 0提问于2018-05-09得票数 3
回答已采纳
CDN据说吸收并减轻了拒绝服务和DDOS攻击。考虑使用CDN提供程序来交付其内容的应用程序。因此,如果攻击者试图使用DOS或DDOS摧毁这样的应用程序,那么在这种攻击期间发出的大量请求将流向CDN服务器。这样的DDOS攻击是否必须在完全损害原始服务器之前,完全摧毁所有为该应用程序内容服务的CDN服务器?
浏览 0提问于2020-01-12得票数 1
2回答
我有一个Client- server -Application,它允许用户通过网络在服务器上运行任何代码。我想保护用户不连接到其他服务器,这些服务器的行为像真实的服务器,但密码被窃取了,我该怎么做呢?服务器和客户端都不能访问互联网,证书颁发机构是不可能的。有没有其他方法可以验证我正在与之交谈的是我的代码,即使有人得到了源代码?
浏览 2提问于2012-08-02得票数 0
2回答
保护HTTP请求的某些部分?
、、、、
如何保护HTTP请求的各个部分,比如它们的会话ID?我知道你可以使用HTTPS,但是你的服务器必须解密所有的请求。只加密请求中所需的部分不是很理想吗?
有没有什么框架或者资源可以让你或者告诉你怎么做呢?
浏览 1提问于2010-11-11得票数 5
回答已采纳
1回答
到目前为止,我已经创建了gcp函数(使用Node.js开发),这些函数使用Oauth令牌保护,最重要的是,我想保护我的函数免受XSS和CSRF攻击。 我该怎么做呢?
浏览 11提问于2020-01-28得票数 0
我知道这个问题问了这么多次,但我又回到了这里。我正在开发一个应用程序,我需要登录用户,但问题是,用纯文本发送用户凭据并不是一个好主意,因为它们可能被任何网络工具破解(不知道怎么做,如果您也能告诉这一点,那么它将非常有帮助)。有人能告诉我一个更好的主意吗。
我有一些解决方案,我目前正在生成客户端和服务器密钥,然后我连接客户端密钥+散列用户密码+服务器密钥和发布到服务器这三件事。
与服务器相同的进程,并比较这2个哈希。
够了吗?
我也看过jcryption了。
有人建议我有什么好主意吗?
谢谢..。
浏览 0提问于2014-09-19得票数 0
2回答
设置
在某些网络上,我可以使用nslookup解析指向私有ip地址的域名:
@work> nslookup my192.ddns.net
Server: 10.1.2.3
Address: 10.1.2.3#53
Non-authoritative answer:
Name: my192.ddns.net
Address: 192.168.20.20
但是,在我的家庭网络上,同样的查询失败了:
@home> nslookup my192.ddns.net
Server: 192.168.0.1
Address: 192.168.0.1#53
No
浏览 0提问于2018-01-14得票数 3
回答已采纳
1回答
封锁IP地址的自动化
、、、、
我有一个Ubuntu12.04机器运行Apache2,其中托管了大约10个wordpress网站。
最近,我受到客户的攻击,这些客户似乎正在向一个名为“xmlrpc.php”的wordpress文件发送帖子请求。
我阻止发送这些恶意请求的IP地址的方式是一个繁琐的手工过程,我想以某种方式实现自动化。
一旦我注意到我的服务器负载很高,我就执行以下操作:
我在所有虚拟主机访问文件上运行apachetop。这显示了正在发出的所有请求,因此我可以看到是否有向xmlrpc.php发出的请求
一旦识别出哪个IP攻击了我的服务器,我将对每个违规的IP地址运行以下命令:sudo iptables -A INP
浏览 0提问于2013-09-09得票数 0
1回答
我有一个供应商需要远程连接到我们的服务器之一。我想我要做的是在防火墙中设置NAT规则。我有一个公共IP地址,我将把它转换到本地服务器地址,这样供应商就只需要将RDP转换成公共IP地址。这是一种让供应商连接的安全方式吗?我可以将服务限制在端口3389,并将源IP地址设置为只接受供应商的公共IP地址。
📷
浏览 0提问于2014-02-18得票数 2
我理解Oauth代码流,它涉及移动应用程序、应用服务器、auth服务器、资源服务器。应用服务器使用客户端和机密向auth服务器注册。其想法是,移动应用程序调用应用服务器的端点,该端点触发代码流,最终导致使用auth代码从auth服务器回调到应用服务器。应用服务器向auth服务器提供秘密和代码,以获取访问令牌。
另一个没有客户端和秘密的遗留选项是隐式流,其中移动应用程序接收带有auth代码的重定向url (假设重定向url目的地是SPA),它将调用auth服务器端点来获取访问令牌。
这是不安全的,因为任何人都可以从url窃取访问代码。
对于像移动应用程序这样的客户端来说,解决这个问题的方法是使用
浏览 7提问于2022-02-06得票数 1
回答已采纳
5回答
我必须通过HTTPS调用,通过一个未加密的通道( JavaScript,而不是HTTPS.)来传输一些敏感信息。
我想加密数据,但在JavaScript端加密意味着我要公开密钥,这使得对称加密只是一种模糊的安全性练习。
是否有针对JavaScript的非对称加密?这样,我就可以对服务器解密密钥保密了。(我不担心服务器> JavaScript消息的安全性,只关心某个JavaScript >服务器消息的安全性)
浏览 4提问于2011-05-25得票数 24
我对spf记录知之甚少。我在谷歌上搜索了一下,发现spf记录被用来防止电子邮件欺骗。但我不太明白这是怎么回事。我想简单地了解以下几点。
如何为我的网站设置spf记录。(指向安全设置spf记录的任何链接都可能有用)
使用-而不是~有显著的区别吗?例如:
两者有什么区别?
TXT @ "v=spf1 a include:_spf.google.com ~all"
和
TXT @ "v=spf1 a include:_spf.google.com -all"
spf记录实际上能防止攻击者欺骗我的邮件服务器吗?
(预先谢谢:)
浏览 0提问于2015-06-14得票数 1
回答已采纳
1回答
我使用SMO在Server中创建一个帐户
var serverName = "192.168.1.50,1433" ;
Server svr = new Server(serverName);
var db = svr.Databases[databaseName];
if (db != null)
{
// You probably want to create a login and add as a user to your database
Login login = new Login(svr, loginName);
login.Defa
浏览 2提问于2015-02-19得票数 0
我正在设计一个类似于DNS协议的协议,但这可能会返回更多的数据。我可以选择使用UDP或TCP。UDP之所以有吸引力,是因为它是无状态的,但也可以用于DDOS。
协议中可以使用哪些策略来避免DDOS攻击?
我在某个地方读到,NTP现在使用的是“现在”。这是怎么回事?
浏览 0提问于2015-12-20得票数 1
回答已采纳
1回答
保护REST接口
、、、、
在HTTP上将REST接口公开为JSON时,保护REST接口的一般步骤是什么?
下面是我的想法(将使用OAuth2进行身份验证):
清理客户端和服务器端的输入
在安全端点上强制HTTPS
提供CSRF保护(在state流中使用OAuth2 param )
在端点和客户端之间,以及端点和后端组件之间放置一个队列+缓存(例如:Redis);以帮助处理可能的DDoS和一般性能
确保防火墙和其他此类机制到位(web服务器安全)
不然你会怎么建议我先把舱口整理好,然后才能把这个系统投入使用呢?
浏览 3提问于2013-07-14得票数 0
2回答
我有一个服务器引擎,它通常在服务器中工作(想象力)。但有时它会在客户机上执行,或者偶尔在另一台服务器上执行,并希望使用该服务器执行一些额外的/额外的处理。
之间的链接将受到ssl/tls和证书的保护。因此,通信将是安全的,但我不确定调用引擎是我的代码。
你怎么去鉴定那台引擎。爱丽丝和鲍勃在这个问题上会说些什么?
浏览 1提问于2012-03-02得票数 1
回答已采纳
我在laravel表格select中的“@”符号的值上有问题。似乎所有具有“@”的字符串都被转换为代码。但是这只发生在服务器上( centOS服务器)。但在我的本地机器上正常工作。
下面的图片是如何是应该和正在工作我的本地人。
这就是在CentOS服务器中的情况
我怎么才能修好这个?它是在服务器的设置中,还是我需要捕捉到它?我试图为它们的值添加一个still实体,但仍然是这样工作的。不太确定是什么原因导致它在centOS中不工作。谢谢你的回复。
在配置文件中,json对象就是这样形成的。
'group'=>[
't
浏览 2提问于2016-10-03得票数 2
回答已采纳
2回答
我有一个基于三个JWT令牌的自定义身份验证和授权方案--引用(不透明)令牌、访问令牌和刷新令牌。后端在cookie中设置引用令牌,并将其与每个请求一起提交给服务器。
既然,我用的是cookie,我需要防止CSRF攻击。我已经编写了这根线和这篇风暴路径文章,但我仍然没有得到我应该遵循的工作流,以防止CSRF攻击。
我的引用令牌有效负载看起来类似于
{
"iss": "http://galaxies.com",
"exp": 1300819380,
"scopes": ["explorer",
浏览 0提问于2017-08-29得票数 4
1回答
我正在构建一个游戏,玩家可以为其创建帐户,你知道,标准方案。但是,无论是在服务器端(Node.js)还是在客户端,我只想依赖Javascript。
我与服务器通信的主要方式通常是Socket.io,我想以明文形式发送密码不是一个好主意--但我不知道为什么!我是说,有没有人能闻一闻交通堵塞之类的?这到底是怎么发生的呢?最重要的是,这个问题的解决方案是什么?
我知道我需要将密码作为散列保存在服务器端。
浏览 0提问于2012-06-08得票数 0
回答已采纳
1回答
我研究过并知道同源策略(SOP)是由浏览器处理的基于客户端的策略。服务器负责将列表返回给浏览器,允许来源和浏览器检查它与当前来源,然后决定是否读取响应。也许一些案例浏览器会发送一个预照明请求来检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它,然后发送响应。而SOP不适用于来自另一个服务器的请求(服务器对服务器的请求),请求来自邮递员...所以我认为使用SOP服务器还是不安全的。
有没有人能多解释一下。谢谢。
浏览 20提问于2018-08-11得票数 1
回答已采纳
我有一个场景,我必须在服务器端加密(使用java),并使用非对称密钥加密技术在客户端(使用任何JavaScript库)解密相同的数据,因为我们想从服务器side.so发送一些敏感信息,这里的问题是-
真的有可能吗?如果是,怎么做?
如果没有?为什么?
如果这真的是可能的,那么请提供任何链接或任何例子开始,并请提供替代方案,只有当这是不可能的(我知道我们有SSL,但请搁置这一点)。
任何帮助都是非常感谢的。
浏览 4提问于2014-05-15得票数 1
回答已采纳
我不明白为什么会出现这种情况。在我的本地网络上,如果我单击10-20 apache/http链接,我的服务器将决定添加我的hosts.deny文件,并在iptables上阻止我。
它不只是apache,它似乎发生在任何一种流量,这是通过洪水的方法。就像我用亚音速,如果我改变音轨10-20次,它就能做到。
我假设我有某种防火墙,它位于正在执行此操作的服务器上。但是,我在/var/lib中没有fail2ban或任何denyhost。
我想不出为什么我总是被添加到hosts.deny/iptables中。
谢谢
浏览 0提问于2014-06-11得票数 0
1回答
我有一个简单的webclient,它只向服务器发送POST消息并得到响应。我通过重写KeepAlive=true (.)来设置GetWebRequest‘使用持久连接。
以及我的客户端所访问的服务器,它限制了我可以打开的连接的数量(我想是为了避免DoS攻击!)。我的客户端只是并行地执行对这个服务器的大量查询--因此,为了限制我对服务器提出的请求数量,我使用了一个信号量(请参阅代码片段)--即确保我没有在任何给定的时间超过连接限制。
但是,在特定客户的环境中,服务器通过说“已达到连接限制”来主动拒绝请求。
我的问题
我如何知道在任何给定的时刻,我的客户端在服务器上打开了多少连接?我正在使用F
浏览 0提问于2014-03-11得票数 0
1回答
我想制作一个Web单页应用程序(SPA)。我想我会选择angular或backbone。在这两种情况下,我想知道的是:用户将在应用程序中填写表单。我将包括一些检查(电子邮件格式、必填字段、数字等)在过去,我使用的是纯PHP。在这段时间里,我经常在服务器端做这些检查,因为用户可以通过绕过网络蠕虫发送恶意数据。我在一些教程中看到,检查是在客户端浏览器中使用javascript进行的。所以我不知道该怎么办...
浏览 1提问于2016-08-19得票数 0
我使用的是Nodejs服务器,它部署在g云上。我在服务器中使用axios调用vimeo。当我在本地运行服务器时,它运行得很好。然而,当调用由部署的服务器进行时,它会产生一个403错误。
错误似乎如下:
Error: Request failed with status code 403\n at createError
(/workspace/node_modules/axios/lib/core/createError.js:16:15)\n at settle
(/workspace/node_modules/axios/lib/core/settle.js:17:12)\n
浏览 4提问于2022-02-11得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
