草庐IT

SECURITY

全部标签

web开发中的安全和防御入门——csp (content-security-policy内容安全策略)

偶然碰到iframe跨域加载被拒绝的问题,原因是父页面默认不允许加载跨域的子页面,也就是的content-security-policy中没有设置允许跨域加载。简单地说,content-security-policy能限制页面允许和不允许加载的所有资源,常见的包括:iframe加载的子页面urljs文件图片、视频、音频、字体等资源设置content-security-policy有两个途径:通过请求头设置(httpheader)在html中head>meta设置使用中注意:1比2的优先级高,也就是浏览器优先使用请求头的配置content-security-policy各配置项默认使用defau

java - 为什么我的小程序会出现 java.security.AccessControlException : access denied (java.net.SocketPermission ...),我该如何避免?

我们不知道为什么我的客户端在Safari中遇到Java安全异常。谁能帮忙?异常在Windows上的Safari中可靠地发生。这涉及一个Java小程序。WindowsVista上的Firefox和IE8也会出现异常。重现步骤如下:在Windows上打开Safari点击此处:http://www.cengraving.com/s/item?itemId=CH003点击“自定义”(在屏幕底部)“即时证明”页面加载后,点击“添加到购物车”。完整堆栈跟踪:java.security.AccessControlException:accessdenied(java.net.SocketPermis

java - 合并 2 个 .jks 信任库文件

我正在使用启用了SSL的Tomcat,使用信任库进行客户端身份验证。我有两个.jkstrustore文件。第一个,我将它用于PROD环境,另一个用于TEST环境客户端证书。我在Tomcat上部署了Web应用程序,直到现在我才在配置中设置上述文件之一(根据环境)。我是否可以将这些文件合并到一个.jks信任库中,以接受PROD和TEST环境的客户端证书?我需要说明一下,我有两个信任库的密码。谢谢! 最佳答案 您可以使用keytool的-importkeystore选项将条目从一个keystore/信任库导入到另一个:keytool-im

java - 如何使用 Spring Security/Spring MVC 处理表单登录

简单的问题,我只需要一个正确方向的指针:我有一个简单的SpringMVC/SpringSecuritywebapp。最初,我设置了SpringSecurity,以便默认登录页面正确显示和验证(我使用DaoAuthenticationProvider实现了UserDetailsS​​ervice来执行此操作)。下一步:用我的登录页面替换默认的spring登录页面并发布凭据。但是我如何处理提交的登录凭据?我假设我将表单发布到Controller,验证凭据,但我不清楚正确的步骤是在那之后。例如:我是在调用AuthenticationManager的方法吗?我需要为此定义一个bean吗?是否有

java - PKCS#12 : DerInputStream. getLength() 异常

我使用keytool命令生成证书:keytool-genkeypair-aliasmyRSAKey-keyalgRSA-keysize1024-keystoretest.p12-storepasstest-storetypepkcs12然后,如果我尝试使用java安全API加载它,在将文件作为byte[]获取之后:KeyStoreks=KeyStore.getInstance("PKCS12");try{ks.load(newByteArrayInputStream(data),"test".toCharArray())}catch(Exceptione){...}我得到DerInpu

Java SSL/TLS 忽略过期的证书? (java.security.cert.CertPathValidatorException : timestamp check failed)

我在使用通过SSL与之通信的API时遇到问题。我认为异常是由于SSL证书已过期。问题是我不管理API框。是否可以忽略过期的证书?异常(exception):[ERROR,TaacWorkshop]ProblemdeletingusergroupfromCADA:org.apache.thrift.transport.TTransportException:javax.net.ssl.SSLException:Connectionhasbeenshutdown:javax.net.ssl.SSLHandshakeException:sun.security.validator.Valid

java - 火狐 "ssl_error_no_cypher_overlap"错误

我和我的同事在使用Firefox3.0.6访问我们正在开发的Java1.6.0___11Web应用程序时遇到问题。session开始后1到30分钟内一切正常...但最终,连接失败并出现以下错误:安全连接失败连接到10.x.x.x时发生错误。无法与对等方安全通信:没有通用的加密算法。(错误代码:ssl_error_no_cypher_overlap)IE运行良好。Firefox会在Windows和Fedora中抛出错误,因此问题似乎与操作系统无关。JavaEE应用程序在Tomcat6.0.16服务器上运行。所有页面都使用TLS1.0通过带有mod_nss的Apache2.2.8HTTP服

java - org.springframework.security.core.userdetails.User 不能转换为 MyUserDetails

当我实现SpringSecurity的User类时,我得到了类转换异常。我想在MyUserDetails(id)中添加一些额外的详细信息,但我无法获得结果。这个问题得到了回答here但是后来我遇到了两个错误,不知道我在哪里失踪了。下面是我的代码:安全配置.java:@Configuration@EnableWebSecuritypublicclassSecurityConfigextendsWebSecurityConfigurerAdapter{@Autowired@Qualifier("authenticationProvider")AuthenticationProviderau

java - 生产JVM的安全调试

我们有些应用程序有时会进入不良状态,但只能在生产中使用(当然!)。尽管进行堆转储可以帮助收集状态信息,但使用远程调试器通常更容易。设置起来很容易-只需将其添加到他的命令行中:-Xdebug-Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=PORT似乎没有可用的安全机制,因此在生产中打开调试将有效地允许任意代码执行(通过hotswap)。我们混合使用在Solaris9和Linux(RedhatEnterprise4)上运行的1.4.2和1.5SunJVM。我们如何启用安全调试?还有其他方法可以实现我们的生产服务器检查目标吗?

java - Tomcat 启动时间太长 - Java SecureRandom

请不要将其标记为重复。这是这两个问题的后续问题。Tomcat7startstoolateonUbuntu14.04x64[Digitalocean]https://stackoverflow.com/a/2325109/6785908我明白了,替换securerandom.source=file:/dev/urandom与securerandom.source=file:/dev/./urandom在$JAVA_PATH/jre/lib/security/java.security中将解决这个问题。我的问题是,在生产中这样做可以吗?这会对安全性产生任何影响吗(比如SessionID变得