从URL中删除会话代码以防止安全漏洞
当从KeyCloak登录页面进行身份验证时,它将会话代码作为查询参数传递。是否有一种方法可以避免这种情况,并以不同的方式传递会话代码(例如:作为头参数)
POST https://xxx/auth/realms/xxx/login-actions/authenticate?session_code=xxxxxxxx&execution=xxxxxx&client_id=xxx&tab_id=xxxxhtt/1.1
共有1个答案
除了修改源代码之外,没有办法阻止这种情况。为什么认为是安全漏洞?会话代码用于CSRF(跨站点请求伪造)保护。实际的会话标识符存储在浏览器cookie中。
-
我的购物车有两个功能,第一个是退货总价和商品总数量: 这两个函数返回这两个参数: 和: 我可以通过此功能销毁所有购物车会话: 如何删除特定购物车项目?我在使用这个方法,它的工作。但它不会改变总价和总数量:
-
问题内容: 我正在使用Django和Redis作为会话引擎(也是Celery,但这是其他东西)。它运行完美,我可以看到速度有所提高。 我有一个脚本,每分钟运行一次,以通过某些方法检查活动用户,如果该用户在最近一分钟内未处于活动状态,则该会话将被删除。这样做是为了满足客户的跟踪需求。 在我切换到Redis作为会话引擎之前,该脚本运行良好。实际上,该会话确实已从数据库中删除,但未从Redis中删除。我
-
问题内容: 如何防止多个客户端使用相同的会话ID?我之所以这样询问,是因为我想增加一层安全保护,以防止网站上的会话劫持。如果黑客以某种方式弄清楚另一个用户的会话ID并使用该SID发出请求,我如何检测到服务器上有不同的客户端共享一个SID,然后拒绝劫持尝试? 编辑 经过深思熟虑后,我接受了Gumbo的回答,因为我意识到由于 无状态HTTP协议 的限制,我所要求的是不可能的。我忘了HTTP的最基本原理
-
我需要允许绕过spring安全认证访问特定的控制器,但我不确定为什么spring仍然认为这些URL是受保护的……\我注意到了这个问题,因为每次我得到的是401响应 在调试模式下,我检查了restAuthenticationFilter()提供的筛选器仍在处理请求,尽管这些请求理论上是公共URL 有人能猜到我做错了什么吗? 我很感激你的帮助 我的ConfigClass 我的控制器
-
问题内容: 已锁定 。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 用PHP维护负责的会话安全性有哪些准则?网络上到处都有信息,现在是时候将它们全部集中在一个地方了! 问题答案: 为了确保会话安全,需要执行以下几项操作: 对用户进行身份验证或执行敏感操作时,请使用SSL。 只要安全级别发生更改(例如登录),就重新生成会话ID。如果愿意,您甚至可以为每个请求
-
我想要一个数组列表,并限制元素删除。我该怎么做?