《亚信安全校招》专题
-
混合内容问题-不安全的XMLHttpRequestendpoint
当我用HTTPS浏览我的网站时,我面临着复杂的内容问题。我从jQuery调用API,但我没有提到协议,所以假设浏览器应该选择与浏览站点相同的协议(http或https)。我的jquery代码如下所示: 在超文本传输协议中浏览站点并执行所需操作以获取结果时,它可以正常工作(能够从API调用中获取结果)。但是当我浏览站点并尝试在https中获取结果时,我在浏览器控制台中遇到了以下错误。即使我使用htt
-
Firebase实时数据库-不安全规则
我在中收到一条消息,告诉我我的项目有不安全的规则。但当我检查它时,我不太明白什么是不安全的。 它显示如下: 我保留了读取访问权限,因为它支持一个网站。所以任何访问该网站的人都应该能够读取数据。 至于写权限,据我所知,我是唯一能写的人。 请注意,我还有第三个系列(CollectionThree),规则中没有提到。这可能是原因吗? 除此之外,我还可以想象,只有web服务器可以获得读取权限,以便将内容提
-
向Docker添加不安全的注册表
我有一个Docker1.12在CentOS上运行。我正在尝试添加不安全的注册表到它和文件中提到的东西只是不工作。系统使用,因此我创建了文件。 加载后台进程并重新启动docker服务后,systemd显示环境变量在那里 但是当我运行时,我没有看到添加了不安全的注册表 将图像推送到失败,原因是 有什么可以做的吗?我是不是漏掉了什么? 更新 之后,不安全的注册表开始工作。
-
线程安全,但不能防止死锁?
在Java类的总体描述中,我遇到了这样一行:“然而,即使所有操作都是线程安全的,检索操作也不需要锁定,并且不支持以阻止所有访问的方式锁定整个表”。我的问题是:这是否意味着并发HasMap不能防止死锁?我还认为线程安全意味着不会发生死锁?
-
Thymeleaf安全无法正常工作(spring boot)
有的安全措施起作用,有的不起作用。 如果我的html文件中包含以下内容: 结果是: (->但它不起作用,因为每个人都可以一直看到它) (->按预期工作) (->有效) (->正确) 正如你所看到的,其他人根本没有出现。 html标记如下所示: 我的pom.xml具有以下依赖关系: 我的SecurityConfig如下所示: 所以基本上只要和角色没有任何关系,一切都是正常的。如果它是基于角色的,那么
-
使用javaconfig拒绝访问spring安全性
我希望你能帮我做以下几件事: 我正在使用spring安全和spring MVC建立一个web应用程序,我需要重定向的流到登录页面,一旦有一个尝试访问一个禁止的资源(403 HTTP状态代码)。 现在,spring安全已经完成了防止未经授权访问我在Restful API(@RESTController)中公开的每一个资源的工作,并使用适当的403默认页面进行响应。但由于我需要重定向到登录页面,我需要
-
Node.js服务器中存在安全漏洞
我有网站运行在node.js&express服务器上。我了解到该网站存在以下漏洞。 远程攻击者可以发送巧尽心思构建的HTTP请求,并强制其针对某些流量边缘模式对错误连接进行日志记录语句。这会导致并发使用内存池进行单独的连接,并引发影响。 利用HTTP报头的间隔会在服务器进程中造成溢出,从而覆盖堆栈的一部分,通过覆盖下一个操作的字节来倒回请求处理。 一旦对暴露的endpoint进行相应的精心编制;环
-
使用Elytron的WIldfly和JavaEE安全配置
我试图更加熟悉Wildfly的安全配置,但在理解standalone.xml等服务器端配置和web.xml和jboss-web.xml等应用程序端配置中的选项之间的关系时遇到了一些问题。 我对这个基于Wildfly servlet安全示例的配置有几个问题。我已经尝试了,它的工作,但有几件事对我来说不清楚。 null web.xml jboss-web.xml 这里有一个Wildfly示例的链接,我
-
如何用Spring靴播种Spring安全性
我有一个spring-boot 1.1.0.build-snapshot项目,它使用Spring-Security spring-security-web:4.0.0.m1。我想在我的H2表中添加数据库表,但在启动时会出现异常(生产和集成测试代码都有)。 以下是我的相关schema.sql文件内容: 我的application.properties文件中有以下内容: 当我启动或运行测试时,我会得到
-
Elasticsearch插件线程权限安全异常
我在elasticsearch插件中遇到了异常: java.security.AccessControlExcture:访问拒绝(org.elasticsearch.ThreadPersionorg.elasticsearch.ThreadPersion)java.security.AccessControlContext.check权限(AccessControlContext.java:472
-
Azure功能存储帐户网络安全我目前正在与一个客户合作,该客户要求尽可能多地锁定所有Azure资源的访问权限,我对Azure功能使用的存储帐户有问题。 在门户中的防火墙和虚拟网络刀片设置为“所有网络”后,我可以部署到功能应用程序,它运行时不会出现问题。 然而,一旦我通过检查“选定网络”启用访问限制,无论我输入的是什么虚拟网络子网或IP地址,我都无法使通信正常工作 我已经输入了我们基于消费的功能应用程序的出站IP地址,还检查了P
-
Java RMI Java。安全AccessControlException:访问被拒绝
我正在用Java RMI编写一个客户机-服务器程序,但遇到了一个错误: java.security.访问控制异常:拒绝访问(java.net.SocketPersion127.0.0.1:1099连接,解析) 我的代码如下: 怎么了?
-
Java8默认方法为特征:安全吗?
在Java8中使用缺省方法作为穷人版本的traits是一种安全的做法吗? 有人说,如果你只是为了熊猫而使用它们,可能会让熊猫伤心,因为它很酷,但这不是我的本意。人们还经常提醒说,引入缺省方法是为了支持API演进和向后兼容性,这是真的,但这并不使使用它们作为特征本身是错误的或扭曲的。 我脑海中有以下实际用例: 或者,定义: 关于SO的几个问题与Java vs Scala特性有关;这不是重点。我也不仅
-
嗨!Spring安全角度认证有问题
就像在本主题中一样,我的Spring Security应用程序也有问题。单击“身份验证”按钮时,即使输入了正确的数据,也会在控制台中看到: 访问位于“”的XMLHttpRequesthttp://localhost:8080/api/v1/basicauth“起源”http://localhost:4200'已被CORS策略阻止:对飞行前请求的响应未通过访问控制检查:它没有HTTP ok状态。 而
-
使用HashMap和ScheduledExecutorService进行线程安全
我构建了这个“节流”任务运行器,它在HashMap中收集一些数据,同时(每分钟)将数据“带走”并清除HashMap。在我的测试中,我注意到executor部分可以停止,并且永远不会再次清除HashMap。我假设这是因为我所做的HashMap修改不是线程安全的,它在内部崩溃,没有恢复。我正在两个线程中修改HashMap。有人能告诉我如何优化HashMap修改的正确方向吗。