CORS安全吗?[重复]
我刚刚检查了我们的新网站后端代码,发现了这个:
services.AddCors(o => o.AddDefaultPolicy(builder =>
{
builder.AllowAnyOrigin()
.AllowAnyMethod()
.AllowAnyHeader();
}));
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = Configuration["Jwt:Issuer"], //--> AppSetting.Json
ValidAudience = Configuration["Jwt:Issuer"], //--> AppSetting.Json
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"]))
};
});
安全与否?如果允许任何来源,用户身份验证是否足够?
共有1个答案
简短回答:否
长答案:设置访问控制允许来源有哪些安全风险?
-
问题陈述:我有一些Rest的API,它们使用Spring安全性进行CSRF保护。此外,这些API将通过Angular WEB UI从不同的Origin/domain访问。我不需要Spring Authentication,因为身份验证由Siteminder处理。 方法:我遵循了Dave Syer提供的CSRF保护的链接:登录页面:Angular JS和Spring Security Part II
-
所以我想问题是Spring Security性和Tomcat中的HTTPS重定向的结合。有人能帮我解决这个问题吗?提前感谢,
-
任何人都可以澄清NashScript引擎是否线程安全?如果不是线程安全的,如何处理多个脚本?
-
问题内容: 能后可重复使用被称为? 这play.golang.org/p/QLsvA-b4Ae按预期运行,但它保证是安全的吗?文档没有这么说,但也许我只是偏执。 问题答案: 是的,这很安全。实际上,它比这更安全。您可以同时从多个goroutine中进行选择,并可以根据您的用例进行适当的互换和调用。只要发生在之前,您就应该是安全的。 出于好奇,现在使用互斥锁,两个int32s计数器和一个信号量来实现
-
问题内容: 我是JDBC的新手,新项目要求我使用JDBC。我想知道的是 JDBC安全吗? 如何防止类似“ Mysql Injection”的问题? 使用JDBC时需要注意哪些安全问题? 以及如何确保优化安全性,以防止黑客入侵数据库? 编辑: 我尝试过google,如果我使用google: “ php mysql安全问题” =>它给出了很多结果 如果我谷歌: “ jdbc mysql安全问题” =>
-
我正在用Spring-boot(在http://localhost:8080上)和angular(在http://localhost:80上)构建一个应用程序。 如果我输入了正确的密码,http响应代码(我可以在Chrome控制台中看到)是,但我仍然到达块(带有error.status=-1),并且我可以在控制台中看到以下错误消息: XMLHttpRequest无法加载http://localho